G7で国際的な連携のもと真のOpen AIを実現することを期待
「東ロボ」の研究成果によって、日本における学際的な知識・先端技術を集積、国際的な連携も行ってきました。そしてAIは学習で量が質を変える現象「相転移」を踏まえて、DFFTコンセプトに基づく「国際データ流通網」をAIに広げていく。
そして、G7で国際的な連携のもと真のOpen AIを実現することを期待しております。
AIの学習データを国際的に流通するルールや枠組みとしてデータの越境移転を踏まえ、これまで DFFT 研究会で議論された透明性(Transparency)、セキュリティ(Security)、プライバシ ー(Privacy)と共に、信頼(Trust)が重要な要素になると考えます。
「G7群馬高崎デジタル・技術大臣会合」に注目したいと思います。
大臣会合では、「信頼性のある自由なデータ流通(DFFT(Data Free Flow with Trust))」に関し、G7を中心とした各国と協力しつつ、各国規制を尊重しながら透明性を高め、相互運用性を確保するとともに、官民連携を通じて、推進していくための枠組みについて議論するほか、デジタル化をめぐる様々な課題や可能性について取り上げる予定です。
G7群馬高崎デジタル・技術大臣会合
デジタル大臣 河野 太郎
GPT4のフィルタを回避
GPT4のフィルタを回避するには、敵対するプロンプトを分割して注入するプロンプトインジェクション( splitting adversarial prompts )や、何段階も深く掘り下げた複雑なシミュレーション( multiple levels deep )など、特定のテクニックが有効であることが証明されています。
ハッカソン Pwn2Own でChatGPT を使用
脆弱性単体では面白みに欠けるが、大局的にみて脆弱性を集めると、システムを乗っ取るためのチェーンに作り直すことができる。
ChatGPT Helped Win a Hackathon
Claroty セキュリティ・リサーチャー Noam Moshe 氏
ハッカソン Pwn2Own でChatGPT を使用してコードを記述した Claroty は123,000 ドルを獲得しました。
A team from cybersecurity firm Claroty used the AI bot ChatGPT to win a hackathon https://t.co/vHZpOjk9mh
— WSJ Pro Cybersecurity (@WSJCyber) March 20, 2023
GitHub.comのSSH秘密鍵を公開リポジトリで一時公開
GitHub.comのRSA SSH秘密鍵がGitHubの公開リポジトリで一時的に公開されていたことが判明しました。
2023年03月24日(金) 14:00にRSA SSH ホスト キーの交換を行い問題も解決しており、根本的な原因や影響を把握するための調査を開始しております。
なお、GitHubのシステムや顧客情報が侵害されたものではなく、不用意に公開したと考えられます。今のところ公開された鍵が悪用された事実はない模様です。
BadSecrets
BadSecrets – 多くの Web フレームワークで既知または脆弱なシークレットを検出するためのライブラリライブラリとコマンドラインツールです。OSや言語を問わずファイル、lib、URLで動作します。
現在、10個のモジュールがあります:
- ASPNET_Viewstate – ビューステート/ジェネレーターを、既知のマシンキーのリストと照合する。
- Telerik_HashKey – パッチ済みの (2017+) バージョンの Telerik UI で、既知の Telerik.Upload.ConfigurationHashKey をチェックします。
- Telerik_EncryptionKey – パッチ済みの (2017+) バージョンの Telerik UI で、既知の Telerik.Web.UI.DialogParametersEncryptionKey をチェックします。
- Flask_SignedCookies – 弱いFlaskのクッキー署名のパスワードをチェックします。flask-unsign のラッパーです。
- PeopleSoft_PSToken – PeopleSoft PS_TOKEN の署名パスワードが不正か弱いかチェックします。
- Django_SignedCookies – Django のセッションクッキー (signed_cookie モードのとき) をチェックし、既知の Django secret_key を確認します。
- Rails_SecretKeyBase – Ruby on Rails の署名付きまたは暗号化されたセッションクッキー (複数のメジャーリリースから) をチェックし、既知の secret_key_base を確認します。
- Generic_JWT – JWT の HMAC 秘密鍵や RSA 秘密鍵の確認を行う。
- Jsf_viewstate – JavaServer Faces (JSF) の Mojarra と Myfaces の実装をチェックし、既知の秘密キーまたは弱い秘密キーを使用するかどうかを確認します。
- Symfony_SignedURL – Symfony の “_fragment” URL をチェックし、既知の HMAC キーを確認する。ハッシュを含む完全なURLで動作します。
Similar to Blacklist3r, but covering many more platforms, and 100% python (no more booting up a windows box to check for known dotnet machineKeys), and much faster. Best of all, there’s already a BBOT (https://t.co/wt5MNhbGHU) module to help you find these issues at scale.
— Paul Mueller (@paulmmueller) March 20, 2023
NSA IAM脅威軽減テクニック
NSAは管理者向けに実用的なアイデンティティおよびアクセス管理の推奨事項を提供しています。
- アイデンティティ・ガバナンス – ユーザーのアイデンティティ管理とアクセス制御をポリシーベースで一元管理し、企業のITセキュリティとコンプライアンスをサポートする。
- ハードニング – 悪意のある人物が攻撃を成功させることを困難にします。
- アイデンティティフェデレーションとシングルサインオン – 組織間のアイデンティティフェデレーションは、相互運用性とパートナーシップのニーズに一元的に対応します。SSOは、認証とアクセスを一元的に管理し、より優れた脅威の検知と対応策を可能にします。
- 多要素認証 – 認証プロセスで複数の要素を使用することで、悪意のある人物がアクセスすることを困難にします。
- IAMモニタリングと監査 – 許容範囲と期待される行動を定義し、ログを生成、収集、分析することで、疑わしい行動を検出するための最適な手段を提供します。
“amplification” 影響力の運用
多くの影響力工作は、作成した偽アカウントと実在する人に関わりを持たせることに失敗しています。しかし、このネットワークの場合、著名人の認証済みアカウントと交流し、賛同を得た投稿が確認されました。
また、偽プロファイルのコンテンツがニュースブログやコメントサイトに埋め込まれていることも確認されました。
影響力の運用に関する専門家は、これを “amplification” と表現し、ネットワークがより多くアクセスされることで、より大きな影響力を持つことができるとしています。
A coordinated network of fake accounts posed as Sikh personas to promote the Indian Govt, nationalism & label Sikh activists as terrorists.
— Benjamin Strick (@BenDoBrown) November 24, 2021
They claimed they were #RealSikhs, but were far from it. News on our investigation: https://t.co/iJNDWmFZgq Here is an explainer thread👇 pic.twitter.com/DZfe7De5ZK
英議会「TikTokの公用携帯端末での利用を即時禁止」
英議会「TikTokの公用携帯端末での利用を即時禁止」ですが、議員がTikTokを公用携帯端末から見ていることなど、ともかく禁止した方が良さそうです。
英政府もTikTok利用禁止、中国への情報流出懸念 https://t.co/shKflGTvZt
— ロイター (@ReutersJapan) March 16, 2023
伊藤忠サイバー&インテリジェンス株式会社
サイバーセキュリティは、社員のリテラシーによって支えるため、段階的に内製化しなければならないと思います。
日本国内では、ITベンダー等を除いて高度な専門性を有したセキュリティチームを自社で保有する企業は少なく、ベンダー任せの体制による知識の偏りや人材不足が発生し、結果としてサイバー攻撃被害が増加しています。
伊藤忠サイバー&インテリジェンス株式会社
当社の今までのCERT活動を主体にし、グループ全体に活動を拡大していくためにブルーチームを主眼としたサイバーセキュリティの新会社を設立いたします
— moto_sato (@58_158_177_102) January 10, 2023
※レッドチーム機能を有する予定ですが表現的にはブルーチーム
皆様、引き続きよろしくお願いします。#中の人https://t.co/kNTquQxK7P