今宵のサイバーセキュリティについて気になること:BlackTechによるサイバー攻撃について、「ソニーのあらゆるシステムをハッキングした」とランサムウェアグループが主張、「ドコモ口座」のドメインなど

中国を背景とするサイバー攻撃グループBlackTechによるサイバー攻撃について

中国を背景とするサイバー攻撃グループBlackTechによるサイバー攻撃について(注意喚起)2023年9月27日、米国土安全保障省サイバーセキュリティ・インフラ庁(CISA)は、警察庁及び内閣サイバーセキュリティセンター、米国家安全保障局(NSA)、米連邦捜査局(FBI)及びとともに合同の注意喚起を発出しました。

レポートによれば多国籍企業がすべての子会社とのネットワークを見直し、アクセスを検証し、アタックサーフェスを限定するためにゼロトラスト・モデルの導入を検討する必要性を強調しています。

「ソニーのあらゆるシステムをハッキングした」とランサムウェアグループが主張

https://gigazine.net/news/20230926-all-sony-systems-hack-ransomware-group/

現時点でソニーから公式のアナウンスはありません。ハクティビストや脅威アクターがフェイクを織り交ぜることが観察されており、認知領域を含む情報戦が始まっていると思います。この件も、セキュリティ専門家から様々な情報が飛び交っており、予断は許さないと思います。

Daily dark Webによれば、脅迫者は、ランサムウェアグループがソニーの情報流出について嘘をついたと主張している模様。 予断を許しませんが、被害者リスト加えられたNTT ドコモについても嘘情報の可能性があります。

予断を許しませんが、このところ日本企業が立て続けに狙われています。ご注意下さい。

「ドコモ口座」のドメイン、ドコモが取り戻す 出品の経緯をGMO含め聞いた

「ドコモ口座」のドメイン、このトラブルによって、ドメイン管理のリスクが明らかになったと思います。

広く認知された使用済みのドメインは、不要になっても維持し続ける配慮が必要だと思います。

JP-DRPに基づき、紛争処理機関である「日本知的財産仲裁センター」が解決する場合は、申立てから裁定結果の実行まで約2ヶ月程度かかる為、オークションで競り落とした可能性も(402万円)

JPドメイン名紛争処理方針 申立て紛争処理方針の基本的な手続き

コンテナターミナルにおける情報セキュリティ対策等検討委員会 第2回

日本を代表する有識者によって、コンテナターミナルにおけるシステム障害を踏まえ緊急的に実施すべき対応策として取りまとめた中間取りまとめ案について議論された模様です。

日本の重要インフラを守る為にも、周辺のサプライチェーンリスクは重要な課題だと思います。

有識者
株式会社サイント 代表取締役 岩井 博樹
京都大学経営管理大学院 客員教授 小野 憲司
国土交通省最高情報セキュリティアドバイザー 北尾 辰也
一般社団法人JPCERTコーディネーションセンター 理事 椎木 孝斉
東京大学大学院工学系研究科レジリエンス工学研究センター 准教授 柴崎 隆一

「コンテナターミナルにおける情報セキュリティ対策等検討委員会」第2回委員会を開催します

「政府が国産セキュリティーソフト導入」報道でFFRIが一時ストップ高に、セキュアヴェイルやサイバーセキュリティクラウドなど関連銘柄も上昇している模様です。

https://www3.nhk.or.jp/news/html/20230929/k10014211351000.html

東南アジア政府への執拗なサイバースパイ活動に Alloy Taurus が関与

Exchange サーバーの脆弱性を利用して多数の Web シェルを展開、追加のツールやマルウェアを導入するためのゲートウェイとして長期にわたるスパイ活動に使用されていた模様

別名GALLIUMとして知られ、MSTICによると2018 年頃からLinux システムを標的とした PingPull マルウェアの新しい亜種を展開していました。更に活動が高度化しつつあります。

ChatGPT 2021年9月以前としたデータ制限を解除

ChatGPTは、2021年9月以前のデータに限定されなくなり、最新で信頼性の高い情報を提供できるようになりました。

参考までに、自身のサイトがChatGPTにクローリング(学習)されたくない場合は、robots.txtに以下のコードを追記して下さい。

User-agent: GPTBot
Disallow: /

なお、15,000人以上の作家がAI業界に著作権保護を求めAuthors Guild に署名しました。また「ニューヨーク・タイムズ」は公開したデータを許可なく収集されており、OpenAIに対する法的措置を検討しております。

ChatGPT が見たり、聞いたり、話したりできるように。

今後 2 週間以内に展開される模様、会話に画像を含めることができるようになり、Plus ユーザーは ChatGPTと音声会話ができるようになります。

いよいよ人に代わって、ChatGPTが悩みを聞いて教えることが可能に。 ChatGPT: Vision and challenges

Applications of ChatGPT

Redditで噂されていたマルチモーダル な 「GPT-Vision」について

ノースカロライナ大学、Microsoft Azure Cognitive Services Researchの著者による論文では、全てのモダリティに対応しており、この度リリースされた文字、画像、ビデオ、音声に対応するChatGPTに関する、マルチアウトプットジョイントジェネレーションを備えたモデルとなっています。

CoDi: Any-to-Any Generation via Composable Diffusion

RedditでOpenAIに関する未確認の憶測が見つかる

– すべて参考程度に見てほしい。-
2人の異なるユーザーがOpenAIの内部モデルにアクセスしたと主張し、redditで情報を共有している。
FeltSteam
https://reddit.com/user/FeltSteam/
2022年にトレーニングを終えた2つのモデル”Gobi”と”Arrakis”の説明

K3wp
https://reddit.com/user/K3wp/
ChatGPT APIを通じて内部の強力なモデルにアクセスできると主張

FeltSteamによると

  • OpenAIにはコードネーム “arrakis “と呼ばれる強力なモデルがある
  • arrakisはすべてのモダリティに対応 [http://codi-gen.github.io]を参照。
  • arrakisはGPT-4の能力を超え、多くの異なる分野で人間の専門家に近いパフォーマンスを発揮
  • 幻覚率はGPT-4よりはるかに低い
  • 学習データの半分は合成データ
  • 条件付きMoE/マルチモーダル重みオフロードのため、推論コストはGPT-4とほぼ同じ
  • 非常に優れた自律エージェント – リリースは2024年の予定

更にapples_jimmy氏によると

  • AGIは既に達成されている
  • 離陸が遅いか早いかについての Sama のコメントと、10000人規模のデベロッパー

ソース: https://twitter.com/Simeon_Cps/status/1706078819617063304

FIDO認証をこれから始める人には、こちらの連載記事をオススメいたします。

FIDO認証:1分で分かる!認証器の検証鍵登録

GoogleによるPasskey入門

具体的なコードもあり動画で分かりやすいので、FIDOの初心者にお勧めです。こちらはYoutubeでも公開されています。

FIDO Alliance ユーザー認証仕様

FIDO Alliance ユーザー認証仕様の最新バージョンはこちらから入手できます。FIDO を初めて使用する場合は、まず仕様の概要を確認することをお勧めします。 

参考:W3C Web Authentication:An API for accessing Public Key Credentials Level 2

概念的には、WebAuthn RP(Relying party)の配下で 1 つ以上の公開鍵が、Web アプリケーションからの要求に応じて、Authenticator によって作成・バインドされます。ユーザーエージェントは、ユーザーのプライバシーを保持するために、認証を通じてRPに暗号化された証明を提供します。

Web Authentication API とWebAuthn RPサーバーおよびAuthenticatorとの間の request-response 暗号プロトコルの定義について:
リクエストは、HTTPS、RPウェブアプリケーション、 WebAuthn API、およびユーザエージェントと Authenticator 間のプラットフォームが持つ通信チャネルを用いて伝達します。Authenticatorは、デジタル署名されたメッセージなどを返信します。

プロトコルの詳細は、図のようにRPによって認証操作または登録操作によって異なります。

国連 誠実な情報 行動規範 オンライン意見募集

国、テクノロジー企業、コミュニティはオンラインでの嘘と憎悪の蔓延にどのように対処できるでしょうか?

国連は、この課題に対処するために自主的な行動規範を策定中です。皆様のご意見をお待ちしています。

ここでご意見をお聞かせください。

締め切りは2023年12月1日です。提出後、国連グローバルコミュニケーション部門とやりとりする可能性があります。あなたの意見、および国連が実施する様々な協議や研究は、国連行動規範の策定において考慮されます。

投稿者: 二本松 哲也

SPbD:Security&Privacy by Design Founder ー OWASP Member ー ITは人々の生活をあらゆる面でより良い方向に変化させること ー 競争原理から共創原理へ