緊急速報：米国商品先物取引委員会(CFTC)が登録業者に対しサイバー脅威に関する警報を発出するとともに1月10日及び/又は1月20日までの情報提供を要請

DSIOのサイバー脅威に関する警報の1つは、スワップディーラー(SD)及び先物取引業者(FCM)に対するものであり、もう1つはコモディティ・プール・オペレーター(CPO)、コモディティ・トレーディング・アドバイザー(CTA)、紹介ブローカー(IB)及びリテールFX業者(RFED)に対するものです。全米先物協会(NFA)は、その後、これらの登録カテゴリーの全てのNFAメンバーに対する一斉配信メール（DSIOの警報添付）で（CFTCを代理して）、NFAメンバーに対し更にDSIOによる情報提供要請及びその期限をリマインドしました。

スワップディーラー、先物取引業者、コモディティ・プール・オペレーター、コモディティ・トレーディング・アドバイザー、紹介ブローカー及びリテールFX業者の各々は、自身のクラウドサービス・プロバイダーのいずれかがWSJ紙の記事で説明されたサイバー攻撃によって影響を受けたか否か又は当該攻撃若しくは何らかの関連する潜在的なサイバー事件に関して何らかの連絡を受けたか否か若しくはクラウドサービス・プロバイダーその他の者と連絡をとっているか否かを確認するとともに、以下のとおり対応すべきです：

• スワップディーラー及び先物取引業者は、2020年1月10日までに、自身のクラウドサービス・プロバイダーのいずれかが攻撃の影響を受けたか否かを回答すべきです。DSIOは、スワップディーラー及び先物取引業者のクラウドサービス・プロバイダーが攻撃の影響を受けなかった場合であっても回答するよう要請しています。
• コモディティ・プール・オペレーター、コモディティ・トレーディング・アドバイザー、紹介ブローカー及びリテールFX業者は、2020年1月10日までに、自身のクラウドサービス・プロバイダーのいずれかが攻撃の影響を受けたか否かを回答すべきです。これらのカテゴリーの登録業者であって自身のクラウドサービス・プロバイダーが攻撃の影響を受けなかったものは、サイバー脅威に関する警報に基づくDSIOへの通報は必要ありません。
• CFTC登録業者であって自身のクラウドサービス・プロバイダーが攻撃の影響を受けたものは、プロバイダーから攻撃について通報を受けたか否か及び受けた時期に関する情報、攻撃に対し自身のシステム及びデータを保護するためにとった全ての措置の概要並びにそのデータが影響を受けた可能性のある市場参加者に対する通報についての計画を含めるべきです。
• また、各CFTC登録業者は、2020年1月20日までに、WSJ紙の記事で説明された攻撃又は関連する潜在的なサイバー事件に関しクラウドサービス・プロバイダー、顧客、クライアント、取引相手方、ビジネス・パートナー又は業界関係者から連絡を受けたか否か又はこれらの者と連絡をとっているか否かを回答すべきです。この要請は、WSJ紙の記事で説明された攻撃に加え「関連する潜在的なサイバー事件」を含みかつクラウドサービス・プロバイダーに関係する事件に限定されないため、上記の要請よりも広範なものです。また、サイバー脅威に関する警報の関係部分の文言からして、DSIOは、イエスの回答をすべき情報があるか否かにかかわらず全ての登録業者からの回答を要請しているようです。
• DSIOは、登録業者による状況評価の進捗に伴い登録業者がDSIOのスタッフに迅速にアップデートされた情報を通報するよう要請しています。

サイバー脅威に関する警報に基づき提出される全ての情報は、DSIOAlerts@CFTC.gov宛に電子メールで送付されるべきです。