Microsoft365 Anonymous sudan の犯行声明に対する影響対処
ユーザーは Web 上の Outlook にアクセスできず、他の Exchange Online サービスで問題(MO572252)が発生しました。また、Anonymous sudan の犯行声明に対して、Microsoft 365 サービスへの影響に対処する準備も整えている模様です
Microsoft リファレンス: EX571516/MO572252
発行ステータス : 継続中
We’ve completed an extended monitoring period without observing any further interruptions to our Microsoft 365 services related to this event. We’ll continue working to finalize all outstanding mitigation efforts. Further details can be found in the admin center under MO572252.
— Microsoft 365 Status (@MSFT365Status) June 8, 2023
簡易型河川監視カメラへ不正アクセス – OSINT
1月中旬に国交省近畿地方整備局が設置した簡易型河川監視カメラへ不正アクセスとされておりますが、通信プロトコルに認証の不要なRTSPを用いている場合、誰でも監視映像を見る事が出来ます。
例えばSHODANから検索しOSINTで利用する場合もあり注意が必要です。
河川の監視カメラに不正アクセス。多くが復旧していません。https://t.co/R08IiD88zF
— 日本経済新聞 電子版(日経電子版) (@nikkei) June 8, 2023
専門家は「サイバー攻撃の踏み台とする狙い」を指摘。パスワードが初期設定のままだったことが原因とみられ、管理の甘さが浮き彫りとなりました。 pic.twitter.com/02ciHf6Cy3
河川の監視カメラに不正アクセス。多くが復旧していない模様です。参考までに不正アクセス禁止法が定められております。なおOSINTを使用する場合、その目的や手段が合法であるかは使用者自身が確認する必要があります。
安易考えて、OSINTのつもりがサイバー攻撃(不正アクセス禁止法など)だったということも・・・。
— 二本松哲也 ♢ qualias.eth (@t_nihonmatsu) March 9, 2023
これは一例ですが参考になれば幸いです。
・不正アクセスに該当することは控える
・危険なSQLインジェクションを試さない
・危険なツールを使用しての調査は実施しない
Winnyからの教訓 pic.twitter.com/hofbMAjOWR
デジタル庁システムライフサイクルを俯瞰したサービスデザインとアカウンタビリティーを
半田病院では、保守契約を結ばなくとも請け負ったベンダーが、その後も厳しく善管注意義務を問われました。
このことからデジタル庁も利用者中心(人間中心)を原則とする、システムライフサイクルを俯瞰したサービスデザインとアカウンタビリティーを課す必要があると感じます。
河野デジ相「担当者離任で確認が」 制度トラブル続き、広がった疑心 https://t.co/l8rTTyqfUS
— 朝日新聞(asahi shimbun) (@asahi) June 7, 2023
マイナンバーとひもづけされた本人以外の家族名義の口座は、30万件にも上っていた。デジタル庁は2月にこの「家族口座」の存在をつかみながら、問題を明らかにせず対策もとらなかった。
情報システムの計画・企画、構築から運用・保守を経て廃止するまでの「情報システムのライフサイクル期間」として5年を目安に考慮します。
(第3編第1章 ITマネジメントの全体像)
デジタル庁が取り組むアドレス・ベース・レジストリ
住所の揺らぎを判別して正規化するのは、私もやったことありますが難易度が高く、未だに完璧なものは無いと思います。よって、住所正規化サービスを行うgeoloniaという会社も98%を謳っており、100件のうち2件程度は誤ってしまうものだと思います。
よって、デジタル庁が取り組むアドレス・ベース・レジストリは、日本の歴史が息づく地名を編纂するような、繊細で大事な国家事業だと私は考えます。
タイトルはややふざけていますが、住所の正規化に取り組んでいまして、最近知りえたいくつかの要点についてまとめてみました。https://t.co/0LA8LlowK5
— geolonia (@geoloniamap) June 4, 2020
デジタル庁の採用情報
アーキテクトとは、トラブルがあった時こそ、システム構築の目的と要件を見極めアーキテクチャを検討して実行したアカウンタビリティーが試されると思います。
別人の証明書が発行されるコンビニ交付の不具合といった非機能要件、本人ではない家族名義の口座を紐付けない機能要件など、システム構築の目的と要件を見極めたアーキテクチャの検討と実行にアカウンタビリティーを持ち、プログラマーを導くアーキテクトが現れることを期待します。
⚡デジタル庁の採用情報⚡
— デジタル庁 (@digital_jpn) November 22, 2022
国民サービスや政府業務プロジェクトなどのシステムを手がけるアーキテクトを募集中!レガシーな問題点を検証し、モダンなシステムアーキテクチャを描く、やりがいあるポジションです。
・システムアーキテクト
・ITアーキテクト
詳細はこちら👇https://t.co/tuABwmimzA
「和製ChatGPT」に関する方針
あのChatGPTを産んだサム・アルトマンが、なぜ世界各国の首脳達と面会しているのか。
LLMというプロダクトを持っていたとしても、ピースの一つに過ぎない。これからサム・アルトマンがやろうとしている事の先を創造していくのが日本だと思います。
「欧州ではイタリアがChatGPTを禁止し、米国ではイーロン・マスクがAIの研究を止めろと言っている。5月に開催されるG7で日本がAIの主導権を取っていくのはどうか。新しい社会でAIをどう使うか、このルール作りを冷静な環境で議論できるよう、日本から発信したらどうか」(塩崎議員)
生成AIに関する先日の講演より。https://t.co/7osX6fjNwQ
— 塩崎あきひさ 【衆議院議員・愛媛1区】 (@AkihisaShiozaki) June 10, 2023
AI を利用した偽情報や偽レビューを特定するためのシンプルな OSINT テクニック
なお、AI 言語モデルによって、恣意的な情報操作、マルウェアの作成など、悪意または非倫理的な目的にそれらが使用されるのは時間の問題であることがわかっていました。
AIのバグバウンティ(脆弱性報告)は、これから注目される領域だと思います。
ChatGPT:XSS、CSRF、SQLi、認証・認可の問題、データ漏洩、支払いの問題、Cloudflareの保護をバイパスする方法、プレリリースモデルまたはプライベートモデルに対してクエリの実行など。
OpenAIによるAnnouncing OpenAI’s Bug Bounty Programも始まりました。
当社エンジニアがブログを更新しました。
— MBSD NEWS (@mbsdnews) May 11, 2023
今回は「ChatGPTなど生成AIによる個人情報の開示」と題し、ChatGPTなどの生成AIを介して個人情報が開示されるリスクと、想定される対策について解説しています。
↓記事はこちらhttps://t.co/nmZzci2YRG#ChatGPT #生成AI pic.twitter.com/W8KyDmKbpV
セキュリティクリアランスに配慮したOSINT時代における倫理規範とガイダンス
セキュリティクリアランス
グローバルな動きとして、セキュリティクリアランスに配慮したOSINT時代における倫理規範とガイダンスが必要とされております。
#セキュリティー・クリアランス 制度の導入で情報保全を厳しくすると、日本企業がサイバー・宇宙などの分野で米欧と共同開発しやすくなるとされています。https://t.co/WWrKjyUevQ
— 日本経済新聞 政治・外交 Nikkei Politics (@nikkeiseijibu) June 6, 2023
装備品等の調達に係る秘密保全対策ガイドライン
装備品等契約における秘密の保全措置について、「正当な理由がなく、装備移転支援業務に関して知り得た秘密を漏らし、又は盗用してはならない。」とされております。くれぐれもご注意下さい。
防衛産業基盤強化法が成立
— 産経ニュース (@Sankei_news) June 7, 2023
供給網強化、政府が支援https://t.co/yuQzEq0zYs
企業が取り組むサイバー攻撃対策の強化費も支援。装備品の性能などの秘密漏えいを防ぐため「1年以下の拘禁刑または50万円以下の罰金」の刑事罰を盛り込んだ。
英国 防衛・安全保障メディア諮問委員会DSMA(D-notice)の春季報告書
英国 防衛・安全保障メディア諮問委員会DSMA(D-notice)の春季報告書が週末に発表されました。OSINTの時代における情報の秘匿の難しさ、ChatGPTの偽情報の可能性、倫理規範を持たない独立したジャーナリストの台頭などに言及しています。
The DSMA (D-notice) committee's Spring report was published over the weekend. References the growing difficulty of keeping info secret in the age of OSINT, ChatGPT disinfo potential and rise of independent journalists who don't have ethics codes. https://t.co/gjlh03GZsP
— Izabella Kaminska (@izakaminska) June 5, 2023
アクション Dep Sec 議題9 – その他のサイバービジネスについて
- 定例通告にサイバーが含まれていることを踏まえ、Joe Fay氏は、IT関係者を対象としたDSMAのブリーフィングを手配するメリットがあるのではないか、6月21~22日のINFOSEC会議の開催期間中にこれを行う良い機会があるのではないか、と述べた。
- 急速に台頭するノンリニアなテクノロジーがジャーナリズムの分野と委員会の将来の活動に与える潜在的な影響について、幅広い議論がなされた。実際、ドイツのあるジャーナリストは最近、ミハエル・シューマッハのインタビューを「生成」するためにAIを使用したことを認めている。
- やがて、高度な情報技術は、訓練や経歴に関係なく、誰でも簡単にアクセスし、コンテンツに含めることができるようになるだろう。同時に、セルフパブリッシングによって、倫理や信憑性に関する編集者の監督なしに制作され、印刷され、配布され、公表される資料が氾濫することになるであろう。
INFOSEC会議の開催期間中にIT関係者を対象としたDSMAのブリーフィングを行う機会がある模様です。申し込みはこちらです。
WWDC 2023 — Apple Vision Pro AIアバターと著作権問題について
WWDC 2023 — Apple Vision Pro から次は、好きな人の外見も人格もコピーした AI アバター と生活できるサービス The Virtual Life が生まれるため、著作権問題についてはこちらが参考になります。
権利問題のまとめ
“機械学習の部分については、最近の著作権法の改正によって著作権者の許可なく出来るように手当てがされた 。とはいえ、例えば外見イメージを再現する ために写真・映像を複製する行為など、恐らくこの規定ではカバーされない著作物の利用もある。”
Stable Diffusion (+ControlNet) を使用することで、画像をQRコードに適合させることを発見した模様
なお、ControlNetの進化は凄まじく入力画像から画風を学習してしまうreference-onlyによって、同じ画風で様々な画像が作成できます。
Someone figured out you could use Stable Diffusion (+ControlNet) to adapt QRs into images while still having them work reliably: https://t.co/lKPJDF9gvr pic.twitter.com/iClDoNbpZM
— Ben Ferns (@ben_ferns) June 6, 2023
デジタル著作権管理やメタバースを束ねるマルチバースのプラットフォームへ
これからはVRChatといった単体のメタバースよりも、デジタル著作権管理やメタバースを束ねるマルチバースのプラットフォームが重要だと考えます。そこでValve CorporationのSteamを注目しております。
Google Chrome ゼロデイ脆弱性 CVE-2023-3079
V8における型の混乱による特権昇格の可能性
既にエクスプロイトコードが出回っておりますので、お早めの更新をお勧めいたします。
影響度:High
<対策>
Google Chrome MacおよびLinuxを114.0.5735.106、Windowsを114.0.5735.110にアップデートして下さい。
