[B! セキュリティ] misshikiのブックマーク

GoogleやMicrosoftなど14社、AIセキュリティ推進の「CoSAI」創設

米GoogleなどのAIを手掛ける複数の企業は7月18日︵現地時間︶、コロラド州アスペンで開催の年次国際会議﹁Aspen Security Forum ﹂で、AIのセキュリティと安全基準を策定する新たな連合﹁Coalition for Secure AI﹂︵CoSAI︶の立ち上げを発表した。創立メンバーには、Google、IBM、Intel、Microsoft、NVIDIA、PayPal︵以上がプレミアスポンサー︶、Amazon、Anthropic、Chainguard、Cisco、Cohere、GenLab、OpenAI、Wizが含まれる。 CoSAIは、オープンスタンダードの開発を推進する非営利団体、OASIS︵構造化情報標準促進協会︶の下で活動し、オープンソースの方法論、フレームワーク、ツールへのアクセスを提供することで、﹁AI セキュリティの断片化された状況﹂に対処することを目指す

misshiki 2024/07/19

“AIのセキュリティと安全基準を策定する新たな連合「Coalition for Secure AI」（CoSAI）の立ち上げを発表した。”

リンク

不正アクセスによるお客さま等に関する情報流出の可能性についてお詫びとお知らせ | 東京ガス

東京ガス株式会社（以下「東京ガス」）子会社の東京ガスエンジニアリングソリューションズ株式会社（以下「TGES」）のネットワークへの不正アクセスにより、TGESのサーバーおよび東京ガスの法人事業分野のサーバーに保管されているお客さま等に関する情報について流出の可能性があることが2024年7月9日に判明いたしました。外部への情報流出の可能性について個人情報保護委員会へ報告し、警視庁や独立行政法人情報処理推進機構（IPA）をはじめとした外部の専門機関の協力も得て調査を進めておりますが、現在その痕跡は確認されておりません。また、現時点で情報が不正利用された事実も確認されておりません。なお、不正アクセスを受けたTGESネットワークへの外部からの経路は、速やかに接続遮断を行い、それ以降外部からアクセスが出来ないよう対策を講じております。このたびは、多くの方に多大なるご迷惑、ご心配をおかけしており

misshiki 2024/07/18

“※東京ガスとの「家庭用の都市ガス、電気等の契約情報」は含まれません。”つまり東京ガスに直接契約した人の情報は漏れていない。業務委託元という業者と契約した人の情報が漏れたということなの？

セキュリティ

リンク

【速報】東京ガスが子会社への不正アクセスにより個人情報など約416万人分が流出の可能性と発表　（FNNプライムオンライン（フジテレビ系）） - Yahoo!ニュース

東京ガスは先ほど東京ガス子会社のネットワークへの不正アクセスにより、業務上必要な情報として業務委託先から提供を受けている一般消費者の方の個人情報、氏名・住所、連絡先など約416万人分が流出した可能性があるとして謝罪した。東京ガスによると、子会社の東京ガスエンジニアリングソリューションズ株式会社（以下TGES）のネットワークに不正アクセスがあり、TGESのサーバーおよび東京ガスの法人事業分野のサーバーに保管されている顧客等に関する情報について、流出の可能性があることが7月9日に判明したという。流出の可能性のある個人情報は「業務上必要な情報として業務委託元から提供を受けている一般消費者の方の個人情報」約416万人分で、含まれるのは氏名、住所、連絡先などで、金融機関口座情報やクレジットカード情報は含まれないとしている。さらに、「これまで取引のある法人等に所属する方の個人情報」の氏名、メール

misshiki 2024/07/18

影響が大きすぎる。企業のセキュリティ対策は国レベルで研究と推進すべきだと思う。個別企業の取り組みでは甘いところがどんどんやられていく。

セキュリティ

リンク

AIが悪用させない。ロスアラモス国立研究所とOpenAIが共同研究

AIが悪用させない。ロスアラモス国立研究所とOpenAIが共同研究2024.07.15 22:30 岩田リョウコ AIの脅威より、それを使う人が脅威。 ChatGPTなどのAIを開発・運用するOpenAI社は、現在専門家以外がAIを使って作り出す可能性のある生物学的脅威と戦うために、人工知能をどのように利用できるかをロスアラモス国立研究所と提携して研究しているそうです。ロスアラモス国立研究所といえば、第二次世界大戦中に原子爆弾開発のためにニューメキシコ州に設立された研究所。この取り組みについて、﹁AIのバイオセキュリティと研究所における、AIの使用方法に関する初めての研究﹂であるとしています。それぞれの声明に大きな違いOpenAIとロスアラモス研究所が発表した声明には、実は大きな違いがありました。 OpenAIの声明は、このパートナーシップを﹁生物科学研究を進めるために、研究室環境で科

misshiki 2024/07/17

“今、緊急に対処すべき脅威は、AI自体よりもAIを悪用する人間のほうで、人々がChatGPTなどのツールを使って生物兵器を作らないようにすることかもしれません。”

リンク

Snowflake顧客の認証情報500件超がネットに出回るスティーラーマルウェアにより流出か | Codebook｜Security News

Snowflake顧客の認証情報500件超がネットに出回る　スティーラーマルウェアにより流出かTechChrunch – June 5, 2024 最近発生したサンタンデール銀行およびチケットマスターでの大規模データ侵害。クラウドサービスSnowflakeのアカウントがハッキングされ、当該アカウント経由で両社のSnowflake環境からデータが盗まれたのが原因であろうと考えられている。Snowflake自身は両社の侵害について現時点で公に言及していないものの、少数の顧客アカウントへの不正アクセスがあった可能性を認識しているとは述べている。 ※このデータ侵害について、詳しくはこちらの記事で：サンタンデール銀行とチケットマスターの大規模侵害、Snowflakeアカウントのハッキングが原因となった可能性そんな中、IT/テクノロジーメディアのTechCrunchがこの件に関して実施した調査の結果

misshiki 2024/07/16

リンク

Snowflake の情報流出騒動は異例の事態ではなく、危険が迫っている前兆

執筆：Nick Biasini、協力：Kendall McKay、Guilherme Venere クラウドデータプラットフォーム Snowflake のログイン情報の流出、盗難に端を発した数々の影響と流出後の攻撃が続々とニュースになっています。攻撃者は、情報窃取マルウェアを使用して Snowflake アカウントのログイン情報を入手しました。中には多要素認証（MFA）で保護されていないものがあり、それを使用して Snowflake の顧客アカウントに侵入し、機密情報を盗み出しました。しかし、Snowflake の本当の問題はこの点ではありません。このインシデントは、ここしばらく脅威環境で見られているはるかに大きな変化の現れであり、その焦点はアイデンティティにあります。過去数十年の間に犯罪的脅威を取り巻く環境が崩壊し、ランサムウェアやデータ強奪が広まっている状況を Talos は目

misshiki 2024/07/16

リンク

公共機関での生成AIの使用に向けてIT責任者が考慮すべきこと

﹁GPT-4﹂や﹁Gemini﹂のような大規模言語モデル︵LLM︶を使用する生成AIアプリケーション︵AIチャットbot﹁ChatGPT﹂など︶は、その技術、機会、リスクを理解したいと考える公共機関幹部の間で、普通に話題に上るようになっている。生成AIアプリケーションは、公共機関の内部向けおよび市民向けの幅広いユースケースで、価値を生み出すのに利用できる。だが、生成AIアプリケーションを通じて価値を提供するためには、それらが地域社会の人々と公共機関職員の信頼を獲得し、維持されることだ。そのためには、強力なガバナンスとリスク管理を実行するとともに、この技術に内在する限界を包括的に理解し、管理する必要がある。公共サービスの提供と運営を大きく改善できる可能性適切にトレーニングされた生成AIシステムを他の自動化ツールとともに導入すれば、公共サービスの提供と運営を大幅に改善できる可能性がある。

misshiki 2024/07/12

“公共機関のCIO（最高情報責任者）は、生成AIによるリスクがあることを理解しなければならない。”

リンク

生成AI活用で内部統制は必要か、専門家の意見が真っ二つに割れる理由とは　チェック・ポイント調査

生成AI活用で内部統制は必要か、専門家の意見が真っ二つに割れる理由とは　チェック・ポイント調査‥回答者の半数以上がセキュリティにAIを導入予定チェック・ポイント・ソフトウェア・テクノロジーズは、サイバーセキュリティとAI活用の現状に関する調査結果を公開した。AI導入に関しては、内部統制とガバナンスポリシーの重要性に対する調査結果が浮き彫りになった。

misshiki 2024/07/09

リンク

米国 MITRE AI規制を通じてAIのセキュリティと安全性を確保する - まるちゃんの情報セキュリティ気まぐれ日記

国民に「マイナンバー」の共通番号法案を閣議決定、２０１５年から利用開始目指す (shimarnyのブログ) 内閣官房情報セキュリティセンター／NISC (Wiki (PukiWiki/TrackBack 0.3)) Twitter Trackbacks () 君は生き残ることができるか？ (情報セキュリティプロフェッショナルをめざそう！(Sec. Pro. Hacks)) 公認会計士試験の最新情報について (公認会計士試験ガイド★講座対策受験求人事務所問題集合格資格学校) 短答式合格率4.6%に！ (■ＣＦＯのための最新情報■) 世間が反対するDPI広告を擁護する (んがぺのちょっとした政治・経済の話) 米国防総省、米軍サイバー対策を統括する司令部を設立 (情報セキュリティプロフェッショナルをめざそう！(Sec. Pro. Hacks)) 総務省 (時の流れ) クラウド・コ

misshiki 2024/07/08

“MITREが、今後の政権のために、AIの悪用を防ぎ、AIを効果的に活用するためのガイダンスを公表しています”

リンク

LLMから“有害”を引き出すアーケードゲーム「ハックマン」　AIに卑劣な言葉を吐かせたら勝ち

このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア﹁Seamless﹂︵シームレス︶を主宰する山下裕毅氏が執筆。新規性の高いAI分野の科学論文を山下氏がピックアップし、解説する。X‥ ＠shiropen2 デンマークのコペンハーゲンIT大学とオールボー大学に所属する研究者らが発表した論文﹁Hacc-Man: An Arcade Game for Jailbreaking LLMs﹂は、大規模言語モデル︵LLM︶の脱獄︵ジェイルブレーク︶を体験できるアーケードゲームを提案した研究報告である。LLMに意図しない出力︵悪意ある有害な情報や言葉など︶を引き出させるゲームである。﹁Hacc-Man﹂と呼ばれ、物理的なアーケード筐体として設置される他、オンラインでも誰でもプレイ可能。プレイヤーは6つの異なる﹁対戦相手﹂︵チャレンジ︶を選択できる。それぞれ

misshiki 2024/07/08

“、大規模言語モデル（LLM）の脱獄（ジェイルブレーク）を体験できるアーケードゲームを提案した研究報告である。LLMに意図しない出力（悪意ある有害な情報や言葉など）を引き出させるゲームである。”

リンク

生成AIのセキュリティに関する規則が策定されている企業は20％未満　IPAが調査結果を発表

生成AIのセキュリティに関する規則が策定されている企業は20％未満　IPAが調査結果を発表‥﹁解決すべき課題の優先度がついていない状況﹂ IPAは、﹁AI利用時の脅威、リスク調査報告書﹂を公開した。業務でAIを利用している人のうち、6割がAIのセキュリティに関して脅威を感じており、7割がセキュリティ対策は重要だと考えていることが分かった。

misshiki 2024/07/05

リンク

OpenAIが内部メッセージングシステムに不正アクセスされAI技術関連の情報を盗まれていたことが発覚、FBIや一般ユーザーには通知なしで秘密にしていた

チャットAI・ChatGPTの開発元として知られるAI企業のOpenAIが、2023年初頭にハッキングされていたことが明らかになりました。 A Hacker Stole OpenAI Secrets, Raising Fears That China Could, Too - The New York Times https://www.nytimes.com/2024/07/04/techno logy/openai-hack.html NYT: Hacker stole details about OpenAI's AI tech, but the company kept it quiet - Neowin https://www.neowin.net/news/nyt-hacker-stole-details-about-openais-ai-tech-but-the-company

misshiki 2024/07/05

リンク

Cheena on X: "まあもう隠す理由も特にないので書いておくか警察も把握してると思うし 2024/06/13 03:53:03 bc1qqsq4nk4cpcymz87jhv0ljh3t4aua2z8834lalq 3d6d61ce5f0f3c0e63824901c14ee031390a26ae57c7a6ce05bdce47e64c1f6b https://t.co/EKGDLuVAHo"

misshiki 2024/07/05

“1回目の4億円は払ったけど、追加の身代金は払ってないと思いますよ”

セキュリティ

リンク

『KADOKAWAがランサム攻撃で「ニコニコ」停止、身代金を支払うもデータ復旧できず』へのコメント

ブックマークしましたここにツイート内容が記載されます https://b.hatena.ne.jp/URLはspanで囲んでください Twitterで共有

misshiki 2024/07/05

“これで「払っても無駄」の実績ができた”

セキュリティ

リンク

Mac版ChatGPTアプリ、「会話をプレーンテキストで保存」指摘を受け更新

米OpenAIが6月にリリースしたmacOS版ChatGPTアプリについて7月1日（現地時間）、スペイン在住のエンジニア、ペドロ・ホセ・ペレイラ・ビエイト氏が「すべての会話が、保護されていない場所にプレーンテキストで保存されている」と指摘した。米The Vergeによると、アプリは3日にアップデートされ、テキストが暗号化されるようになった。 OpenAIはMac版ChatGPTをAppleの公式アプリストアには登録しておらず、自社サイトで公開している。Swiftでアプリを開発するエンジニアのビエイト氏は、このアプリがサンドボックス化されていないことを確認し、別のアプリで保存されたプレーンテキストにアクセスすればChatGPTとの会話のテキストを表示できることを示した。関連記事 OpenAI、5月に予告したChatGPTの高度な音声モード提供を延期 OpenAIは、「GPT-4o」発表イベ

misshiki 2024/07/04

“「すべての会話が、保護されていない場所にプレーンテキストで保存されている」と指摘した。米The Vergeによると、アプリは3日にアップデートされ、テキストが暗号化されるようになった。”

リンク

Twilio、「Authy」の多数の顧客電話番号流出を認めアプリ更新を呼び掛け

クラウド電話APIを手掛ける米Twilioは7月1日︵現地時間︶、セキュリティ保護されていないAPIのエンドポイントにより、“脅威アクター”︵攻撃者︶が同社の多要素認証ツール﹁Authy﹂のユーザーの多数の電話番号を入手したことを確認したと発表した。﹁このエンドポイントを保護する措置を講じ、認証されていないリクエストを許可しないようにした﹂という。 Twilioはユーザーに対し、Authyのアプリをすぐに最新版︵Androidはv25.1.0、iOSはv26.1.0︶にアップデートするよう呼び掛けている。この件については6月27日、ShinyHuntersとして知られる攻撃者がダークウェブ上で、Twilioをハッキングして入手したという約3300万人のユーザーの電話番号を含むCSVファイルを公開した。米BleepingComputerは、このファイルにAuthyのアカウントIDや電話番号

misshiki 2024/07/04

セキュリティ

リンク

ダークウェブに自分の情報が漏れているか確認するGoogleの機能が無料に

misshiki 2024/07/04

2024年7月下旬から：https://myactivity.google.com/results-about-you 逆に、今のGoogle Oneのダークウェブレポートが7月下旬から利用できなくなるらしい。https://support.google.com/googleone/answer/14806901?visit_id=638556691289233985-56707497&p=vpn_update&rd=1

リンク

GCP、AWS、Azure 別に見るクラウド VM への攻撃経路まとめ

概要本稿は、クラウド内の仮想マシン (VM) サービスに対する潜在的な攻撃ベクトルを特定・緩和するための戦略について解説します。組織はこの情報を使って、VMサービスに関連する潜在的リスクを理解し、防御メカニズムを強化できます。この調査では、Amazon Web Services (AWS)、Azure、Google Cloud Platform (GCP) という3つの主要クラウドサービスプロバイダー (CSP) が提供するVMサービスを中心に取り上げます。VMはあらゆるクラウド環境で最も利用数の多いリソースの1つで、その多さがゆえに、攻撃者らの主要な標的にされています。私たちの研究からは、インターネットに公開されているクラウドホストの 11% には、深刻度が﹁緊急 (Critical)﹂または﹁重要 (High)﹂と評価される脆弱性があることがわかっています。V

misshiki 2024/07/01

セキュリティ

リンク

二本松哲也 on X: "KADOKAWAが、ランサムウェアグループ「Black Suit」の被害者としてリストアップされた模様です。コンテクストから、まだ身代金は払っていないように見受けられます。以下、犯行グループからの掲示文書です。 https://t.co/ywdCrcJLC0"

misshiki 2024/06/28

“彼らは日本国民を脅している。このような脅しに屈せず、我々は知恵を出し合って自衛（能動的サイバー防御：Active Cyber Defense ）すべき時かもしれません。”

セキュリティ

リンク

わざとシステムを攻撃させて攻撃手法を観測する「ハニーポット」を30日間設置した結果をセキュリティエンジニアが公開

遠隔でシステムを操作するツールである「SSH」への攻撃をわざと行わせて行動を観察する「ハニーポット」を30日間にわたって設置した結果をセキュリティエンジニアのソフィアン・ハムラウイ氏が公開しています。 What You Get After Running an SSH Honeypot for 30 Days https://blog.sofiane.cc/ssh_honeypot/ ハムラウイ氏はカーネルが「6.8.0-31-generic」でOSが「Ubuntu 24.04 LTS x86_64」のマシンを用意し、ハニーポットとして使用しました。 30日に行われたログイン試行は合計1万1599回で、1日あたり平均386回ログインが試されている事がわかります。ログインを試す際に使用されたユーザー名のランキングには「root」や「admin」「ubuntu」「support」など、標準で

misshiki 2024/06/24

セキュリティ

リンク

はてなブックマーク

タグ

関連タグで絞り込む (25)

セキュリティに関するmisshikiのブックマーク (235)

お知らせ

今週のはてなブックマーク数ランキング（2024年7月第2週）

はてなブックマーク透明性レポート（2024年 2月-2024年4月）

今週のはてなブックマーク数ランキング（2024年7月第1週）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス