今宵のサイバーセキュリティについて気になること: juniperファイアウォールのエクスプロイト公開、フェイクを織り交ぜセキュリティ企業を騙す、NISC ハッカーが機密データにアクセスした可能性

RCE 攻撃を可能にする juniper ファイアウォールのバグに対してエクスプロイトが公開

RCE 攻撃を可能にする juniper ファイアウォールのバグに対してエクスプロイトが公開されました。

CVE-2023-36844 And Friends: RCE In Juniper Devices

CVE-2023-36844 and Friends CVSSv3の合計評価は 9.8 Critical

回避策:J-Web を無効にするか、信頼できるホストのみにアクセスを制限します。

アップデート:EX シリーズはPR 1735387 、SRX シリーズはPR 1735389 によってこの問題が解決されました。

詳しくは Juniper サポートポータルへ

ハクティビストはフェイクを織り交ぜセキュリティ企業を騙す

ハクティビストが対象国内を混乱させることを目的とした活動が増加しています。 困っている人を助けようとした行為が結果的に望ましくないものだったとしても責任を問わないとする善きサマリア人の法

防衛省 認知領域を含む情報戦への対応

NISC ハッカーが最長9か月にわたって機密データにアクセスした可能性

サイバー攻撃に対する日本の国防を担当するNISCがハッカーによって侵入され、最長9か月にわたって機密データにアクセスした可能性がある。ランサムウェア攻撃により、名古屋港が一時閉鎖された。これらは日本の防衛力を試す試みの一環ではないかとの懸念が提起されている。

サイバー攻撃に対して厳戒態勢を敷いていた時期に行われ。日本政府は米国および地域同盟国との軍事協力に着手しており、最高機密の技術データが交換される戦闘機プロジェクトも含まれていました。

Japan’s cybersecurity agency suffers months-long breach

100年以上中国で事業を続けるセイコーグループ受難の1ヶ月

ロシアと中国が関与するサイバーアクターによって、立て続けに起こったサイバー攻撃、これらは偶然だったのだろうか。セイコーグループへの不正アクセスを表明したALPHV/Blackcatは4重恐喝(暗号化→データ窃取→DoS攻撃→被害の公表による信用失墜)を行うことが知られており、中国でハッキングサービスを展開しています。

  • 7月28日セイコーグループのサーバーに不正アクセス、データ侵害に遭ったことを確認
  • 8月27日セイコーソリューションズのSkyBridgeの脆弱性を利用し処理水の抗議を行う
  • 8月28日 ALPHV/Blackcatランサムウェアグループが犯行声明を公表

総務省はヤフー株式会社に対して、検索関連データの提供に関する利用者周知及び安全管理措置の実施について行政指導

情報を守ることから、プライバシー(人権)を守ることへ

ヤフー株式会社に対する行政指導

OSINT GPT

OpenAI の GPT モデルを活用してテキスト データを分析し、テキスト エンベディングの計算、類似ドキュメントの検索などのタスクを実行するための Python パッケージ

osintgptの利用は簡単ですが、すべての法律および規制を把握し遵守できる極めて高度なスキルが必要です。

osintgpt

例えばChatGPTはDBでプロンプトはSQL

学習の元データーはクレンジングされていない雑多なものが含まれ、スクリーニングを意識しなければ、ガベージコレクションしてしまう。

適切なデータを引き出すには、使い手のリテラシーが依然として求められます。 使い手の質問の深さと幅、あらゆる情報を見極めるコンセプチュアルスキルによって得られるものがまるで異なります。

選択肢の順序に対するバイアス GPT-4とInstructGPTの2種類のモデルを用いて、5つの異なるMCQベンチマークで実験を行いました。その結果、選択肢の順序を単純に入れ替えるだけで、モデルの性能に13%から75%もの大きな変動が生じることが確認されました。

教師向けのChatGPT を使用した授業のガイドをリリース

推奨されるプロンプト、ChatGPT の仕組みとその制限、AI 検出器の有効性、バイアスについての説明が含まれます。

  • ロールプレイングによる挑戦的な対話
  • カリキュラム教材からクイズ、テスト、授業計画を作成する
  • 英語が母国語でない人にとってのハードルを軽減する
  • クリティカルシンキングについて生徒に教える

教育者が AI についてさらに学ぶためのリソースはありますか?

教育におけるAIの活用に関するオンライントレーニングとガイダンス

ChatGPT Enterprise リリース

エンタープライズ グレードのセキュリティとプライバシー、無制限の高速 GPT-4 アクセス、より長い文書を処理するためのコンテキスト ウィンドウ、高度なデータ分析機能、カスタマイズ オプションなどを提供

会社データを保護する

  • 顧客のプロンプトやデータはモデルのトレーニングには使用されません
  • 保存時(AES-256)および転送中(TLS 1.2+)のデータ暗号化
  • SOC2準拠

投稿者: 二本松 哲也

SPbD:Security&Privacy by Design Founder ー OWASP Member ー ITは人々の生活をあらゆる面でより良い方向に変化させること ー 競争原理から共創原理へ