TokyoBlackHatNews

theregister.com 4分で読了

FCC、Salt Typhoon事件を受けたバイデン時代のサイバー規則を廃止へ

連邦通信委員会(FCC)は今週、2024年に発覚したSalt Typhoon攻撃を受けて制定された、通信事業者に基本的なセキュリティ対策の導入を義務付けるバイデン時代のサイバーセキュリティ規則を廃止するかどうかについて採決を行います。

規制当局の月例公開会議は木曜日に開催予定で、通信法執行支援法(CALEA)および1994年の法律の再解釈に基づきFCCが導入した規則に関する議論に時間が割かれます。

2025年1月、トランプ大統領がホワイトハウスに復帰する5日前に、FCCは宣言的裁定を採択し、通信組織に対しネットワークへの不正アクセスを防ぐための広範な規則を課しました。

宣言的裁定とは、規制当局による法律の公式な解釈です。これは法的拘束力を持ち、即座に有効となります。

トランプ政権下で、FCCはこの裁定を覆すことを目指しています。木曜日の採決者に配布されるファクトシート [PDF] には、その決定の主な理由が2つ挙げられています。

第一の理由は、FCCがこの裁定を違法だと考えていることです。これは、FCCの監督下にある様々な組織から出された強い言葉の請願に続くもので、請願では規制当局が法的権限を超えて行動しており、その法律解釈は「CALEAの文言、構造、目的と完全に矛盾している」と述べられました。

CTIA(無線通信協会)、NCTA(インターネット・テレビ協会)、USTelecom(ブロードバンド協会)によってFCCに提出された請願書 [PDF] には、「議会はCALEAが制定から30年後に一般的なサイバーセキュリティ法へと発展することを意図していなかった」と付け加えられています。

CALEAは、法執行機関が合法的な通信傍受を実施できる能力を維持するために、部分的に導入されました。

しかし、宣言的裁定は、団体の見解によれば、その法律の第105条を広範に解釈し、「規定的で負担が重く、画一的な」サイバーセキュリティ義務を導入し、「通信の不正傍受のあらゆる事例を防ぐ」ことを目的としていました。これはSalt Typhoon攻撃の文脈においてのことです。

これらの「過酷な」義務には、役割ベースのアクセス制御の実装、多要素認証(MFA)の導入、脆弱性パッチの義務化とエクスプロイト緩和、対象組織全体でのデフォルトパスワードの変更などが含まれていました。

電子プライバシー情報センター(EPIC)は、団体の請願に対し反対意見 [PDF] を提出し、彼らの宣言的裁定撤回の試みは「安全でないサイバーセキュリティ慣行のための一種のセーフハーバーを作る策略」だと主張しました。

当時の国家安全保障顧問ジェイク・サリバン氏と当時のCISA長官ジェン・イースタリー氏は、発表時 [PDF] に宣言的裁定を支持し、米国のサイバーセキュリティ向上への重要な一歩であると述べていました。

FCCによると、覆す理由の2つ目は、宣言的裁定がサイバーセキュリティの促進に効果的でないということです。

この裁定は、対象組織が修正または緩和すべき脆弱性について十分に具体的でなく、また、すでに関連するエクスプロイトを防ぐための十分な対策を講じている場合もある各組織の異なる要件を考慮していないと主張しています。

FCCのファクトシートによれば、この裁定はまた、規制当局が業界と協力して最も重要なリスクとその低減方法を特定してきた長年の慣行を放棄するものでもあります。

さらに、「宣言的裁定の広範な方針を取る代わりに、委員会は既存の連邦および州のサイバーセキュリティ要件や、通信ネットワークを保護・確保するための官民パートナーシップに反映されているような、機敏で協調的なサイバーセキュリティアプローチを推進すべきだと考えます」と述べています。

「この協調的なサイバーセキュリティアプローチには、業界によるComm-ISACへの参加、CSRICへの技術的専門知識の提供、NISTCISAなど他の連邦機関との連携による、サイバーセキュリティリスクを低減するためのベストプラクティス、ガイドライン、ツールの策定が含まれます。」

FCCはまた、対象となる通信組織が連邦政府と連携しながら自主的にセキュリティ基準を向上させていることにも満足しているようです。

規制当局は、団体や政府による他のサイバーセキュリティへの様々な取り組み、そしてこの協調的アプローチが「引き続き効果的である」ことにも言及しました。

多くの人々によって最も影響力の大きいサイバースパイ攻撃の一つと評される中国のSalt Typhoon作戦は、2019年に始まりましたが、2024年末まで発見されませんでした。

この攻撃に関する詳細は、ほぼすべての米国居住者および80カ国以上の人々の情報が侵害された可能性が高いとされ、発覚から1年経った今もなお明らかになり続けています

中国政府支援の攻撃者は、政府機関、通信会社、トップ大学に密かにアクセスし、膨大な量のデータ―おそらく企業秘密やその他の経済的に機微な情報も含む―を吸い上げました。®

翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/11/18/fcc_salt_typhoon_rules/

ソース: go.theregister.com
#2025年サイバーセキュリティ #CALEA #China-linked Salt Typhoon #FCC #トランプ政権 #バイデン政権 #中国サイバー攻撃 #携帯通信事業者 #米国通信政策 #規制撤廃

関連記事

「アホ」な犯罪者が「ランサムウェアクラブの第一のルール」を破る

CiscoがMythosを絶賛——しかしモデルが発見したバグ数は非公開

ロシア情報機関、外国スパイが高官のスマートフォンを監視装置に変えたと主張