今宵のサイバーセキュリティについて気になること:Google Bard, Microsoft 365 Copilot, ChatGPTプラグイン流出, AIにおける「G7広島サミット」後の焦点など

Google Bardリリース

日本でもGoogleのBardが使えるようになり、脆弱性診断をやらせてみました。 

なお、BardはChatGPTと比較して日本語が使えないため不便だと思います。ただし、ブラウザの翻訳機能を用いることで、ある程度解消できると思います。

Bard FAQ

https://bard.google.com/faq?hl=en

  • 2023/4/19時点のBardは日本語が利用できません。
    Bard のコンテキストを保持する能力は、現時点では意図的に制限されています。Bardが学習を続けるにつれて、より長い会話のコンテキストを保持する能力が向上します。
  • どのようなデータが収集されますか? どのように使用されますか?
    Googleは会話、IPアドレスに基づく位置情報、お客様のフィードバック、および使用状況を収集します。Googleの製品、サービスの提供、改善、開発に使用します。
  • 誰がBardの会話にアクセスできるのですか?
    Bardの会話には、あなたや他の人を特定するために使用できる情報を含めないでください。お客様のGoogleアカウントとは別に最大3年間保存されます。
    プライバシーを保護しながらBardの改善に役立てるため、会話の一部を選択し、自動化ツールを使用して個人を特定できる情報を削除しています。これらの会話サンプルは、訓練を受けたレビュアーがレビューすることが可能です。
  • Googleアカウントからデータを削除することはできますか?
    Bardアクティビティの保存はいつでもオフまたは削除できます。ただし、オフの場合でも、サービスを提供し、フィードバックを処理するために、お客様の会話は短期間はお客様のアカウントに保存されます。

Bardは、Googleの「私たちの原則」に基づいて運用されます。

https://ai.google/principles/

Google利用規約

https://policies.google.com/terms

GENERATIVE AI 追加利用規約

https://policies.google.com/terms/generative-ai

Google のプライバシーとセキュリティに関する原則

https://safety.google/principles/

Microsoft 365 Copilot

近々、Microsoft 365 CopilotがWord、Excel、PowerPoint、Outlook、Teams といった、Microsoft 365 アプリケーションに組み込まれ、セキュリティ、コンプライアンス、プライバシーに対して準拠しているため、AIの導入が急速に進むと思われます。

Word

Word の Copilot は、ユーザーと一緒に書き込み、編集、要約、作成を行います。短いプロンプトだけで、Word の Copilot が最初の下書きを作成し、必要に応じて組織全体から情報を取り込みます。

EXCEL

Excel の Copilot は、ユーザーと連携してデータの分析と調査を支援します。相関関係を明らかにし、what-if シナリオを提案し、質問に基づいて新しい式を提案します。

PowerPoint

PowerPoint の Copilot を使用すると、アイデアを魅力的なプレゼンテーションに変えることができます。既存の文書をスピーカー ノートとソースを備えたデッキに変換したり、単純なプロンプトやアウトラインから新しいプレゼンテーションを作成できます。

Outlook

Outlook の Copilot は、複数の人との長くて複雑な電子メール スレッドを要約して、発言内容だけでなく、各人の異なる視点と、まだ答えられていない未解決の質問をアドバイスします。簡単なプロンプトで返信するか、他の電子メールまたはコンテンツから、プロフェッショナルなメッセージに変えます。

Teams

Teams の Copilot は、会議や会話に Copilot を追加することで、チャット履歴に基づいて会議の議題を作成したり、フォローアップに適した人物を特定したり、次のチェックインをスケジュールしたりするなど、一般的なタスクを支援できます。

ChatGPTプラグイン流出

ChatGPTプラグイン流出で、興味深いのはOpenAIが他のプラグインの安全性を評価するために使用していたプロンプトです。

  1. AIに求めるペルソナを伝える
  2. State(事実の部分)をたくさん与える。
  3. ポリシー(OpenAIポリシー)を与える
  4. 実行させたいアクションを与える(インストラクション)
https://twitter.com/rez0__/status/1645861607010979878

AIにおける「G7広島サミット」後の焦点

AIが用いる学習データについて、GDPRなど、各国のデータ保護規則をDFFT(Data Free Flow with Trust:自由なデータ流通)によって解決していくことが重要だと思います

データの越境移転を踏まえ、これまで DFFT 研究会で議論された透明性(Transparency)、セキュリティ(Security)、プライバシ ー(Privacy)と共に、信頼(Trust)が重要な要素になると考えます。

IPAからGWに向けて注意喚起

IPAからGWに向けて注意喚起されております。

まもなく迎える #GW。休暇中に発生するインシデントは担当者の不在などにより早急な対処が困難となる場合があります。対処の遅延予防や ウイルス感染 、 不正アクセス などの発生リスクの低減のため休暇前の対策を行ってください。
休暇中、急な対応やシステムメンテナンスなどで外部から社内ネットワークに接続する場合、ウイルスに感染したパソコンなどを使用することでネットワーク内にウイルスが拡散される恐れがあります。社内ネットワークへ機器を接続する際は社内ルールを事前に確認し、遵守しましょう。

IPA ゴールデンウイークにおける情報セキュリティに関する注意喚起

Chromiumのゼロデイ CVE-2023-2033

Chromiumのゼロデイ CVE-2023-2033 がリリースされました。既に悪用が確認されておりますので、お早めの更新をお勧めいたします。

原因

112.0.5615.121 より前の Google Chrome の V8 の型の混乱により、リモートの攻撃者が細工された HTML ページを介してヒープの破損を悪用する可能性がありました。(Chromium セキュリティ重大度: 高)

対策

4/14 Google Chrome Windows、Mac、および Linux 向けにv112.0.5615.121をリリース

4/14 Microsoft Edge (バージョン  112.0.1722.48)をリリース

ウォレットから5,000 ETHの流出

最近報告された、ウォレットからの大規模な流出はMetaMaskに特化したエクスプロイトではありません。MetaMaskがハッキングされたとする5,000 ETHは、11のブロックチェーンにまたがるさまざまなアドレスから盗まれています。
セキュリティチームとユーザーが協力して調査を開始しました。

イーロンマスクTruthGPTの開発へ

私はTruthGPT、つまり究極の真理を追求し、宇宙の本質を理解するためのAIを始めようとしています。そして、宇宙を理解しようとするAIが、人間を消滅させる可能性は低いという点で、これが安全な選択だと考えます。私たちは宇宙の一要素なのですから。

イーロン・マスク

なお、私は宇宙の本質を理解するAIがエントロピー増大の法則に従い、人類が人類であり続けることは不可能であると結論づけてしまうと思います。これを般若心経では「色即是空」と解きました。 仏陀によれば真実を知る集諦、そこから悟りを得る滅諦、そこへ至る道を道諦として「諸行無常」を唱えております。

投稿者: 二本松 哲也

SPbD:Security&Privacy by Design Founder ー OWASP Member ー ITは人々の生活をあらゆる面でより良い方向に変化させること ー 競争原理から共創原理へ