ChatGPTへのDDoS攻撃が確認されており、ハッカー集団による犯行声明
ChatGPTへのDDoS攻撃が確認されており、ハッカー集団による犯行声明が出されました。
マイクロソフトは、セキュリティとデータ上の懸念を理由に、OpenAIのChatGPTへの従業員のアクセスを一時的に制限しました。今後の動向に注意が必要です。
犯行理由
- OpenAIはイスラエルと協力的で、ネタニヤフ首相などイスラエルの高官と会談で、CEOはイスラエルへの更なる投資を言及している
- AIは兵器の開発やモサドのような諜報機関で使われており、イスラエルはパレスチナ人をさらに弾圧するためにもAIを利用している
- OpenAIはアメリカの企業だから 、我々はアメリカ企業をターゲットにする。
- ChatGPTはイスラエル寄りであり、パレスチナに対して偏っていることがtwitterで暴露されている。
なお、これら一連の報道に対してサムアルトマンは、「報復としてマイクロソフト365をブロックしているという噂は全く根拠がない」とpostしています。
the rumors that we are blocking microsoft 365 in retaliation are completely unfounded https://t.co/clhZp4R0xj
— Sam Altman (@sama) November 9, 2023
Atlassian Confluenceデータセンターおよびサーバーにおける不適切な認証の脆弱性
アクティブなエクスプロイト報告がいくつか確認され、攻撃範囲の拡大に伴い、CVE-2023-22518 を CVSS 9.1 から10 にエスカレーションしました。
CVE-2023-22518 – Improper Authorization Vulnerability In Confluence Data Center and Server
アクティブなエクスプロイトは未だに終息してない模様です。
IT サービス管理(ITSM)および資産管理ソリューションのSysAid オンプレミス サーバーにゼロデイを発見
CVE-2023-47246 パストラバーサルの脆弱性により任意のコードを実行する可能性
攻撃者 DEV-0950 (Lace Tempest)が悪用、バージョン23.3.36へ更新することを推奨します。
SysAid On-Prem Software CVE-2023-47246 Vulnerability
rapid7が11/9に公開した記事に記載されたfavicon hashを用いてShodanで検索したところ計413件、日本は1件でした。
⚠️ On November 8, SysAid disclosed CVE-2023-47426, a zero-day path traversal vulnerability affecting on-premise SysAid servers.
— Rapid7 (@rapid7) November 9, 2023
Microsoft warns that exploitation is likely to result in ransomware deployment and/or data exfiltration. Read more in our blog: https://t.co/fYMcFxhuEp pic.twitter.com/L0KTbpsDxL
QNAP複数の脆弱性
QTS、QuTS hero、QuTScloud コマンドインジェクションの脆弱性
CVE-2023-23368 CVSS 9.8 Critical
QTS、マルチメディア コンソール、およびメディア ストリーミング アドオンの脆弱性
CVE-2023-23369 CVSS 9.0 Critical
早急にアップデートすることを推奨します。
情報流出でNTT社長が謝罪 USBメモリーは全面使用禁止に
USBメモリーを厳密に管理することは現実的ではないため、USBメモリー全面使用禁止は対策の一つだと思います。
10月17日 NTTビジネスソリューションズに派遣された 元派遣社員によるお客さま情報の不正流出について4つの対処策が発表されております。(今後、抜本的対処を検討)
但し、互いの信頼関係がなければ同様の事故を防ぐことは難しいと感じます。これは派遣社員の在り方を見直す時かもしれません。
全銀システム障害についてNTTデータ会見
主な原因は、環境構築時(事前準備)にテーブルを生成するプログラムに不備があった。これにより破損したデータが共有メモリに展開され、手数料の処理で破損したデータを読み込んだことで異常終了が発生した模様。
改めて、人が作ったシステムには必ず不具合があり、それをマネジメントして品質を確保することが重要だと思います。
NTTデータグループは、本間社長を筆頭とする「総点検タスクフォースチーム」を立ち上げました。システム障害の真因分析や再発防止策検討のほか、同社関連の重要システムの総点検を実施します。
GPTsリリース
特定の目的のために作成できる ChatGPT のカスタム バージョン。
これまで、多くのパワー ユーザーは、ChatGPTを特定の目的に合わせて、プロンプトと命令セットのリストを管理し、それらを手動で ChatGPT にコピーしてきましたが、その全てをGPTが行うようになりました。
そして、GPTs を作成して公開共有できるGPT ストアを、今月後半にリリースします。
https://openai.com/blog/introducing-gpts
OpenAI DevDay, Opening Keynote
私も早速GPTsで、ISO GuardianとZerotrust Consultantを作成してみました。
ISO Guardian
ISO/IEC 27001のガイダンス、ベスト プラクティス、規格に関する特定の質問への回答を提供する「ISO Guardian 」、更に情報セキュリティ、サイバーセキュリティ及びプライバシー保護を考慮したISO/IEC 27002の実践的なアドバイザリーを追加、機能強化しました。
Zero-Trust Security Consultant
ゼロトラスト成熟度モデルと継続的な診断および緩和(CDM)やAWAREスコアリングなど、ゼロトラストの考え方に基づいたコンサルティングするよう設計されており、詳細なガイダンス、ベスト プラクティス、規格に関する特定の質問への回答を提供する「Zero-Trust Security Consultant 」をGPT Builderで作成しました。
英主催 AI安全サミット:中国、米国、EUが協力することで合意
英主催 AI安全サミット:中国、米国、EUが協力することで合意
Watch the closing plenary from Day 1 of the Ai Safety Summit here.https://t.co/2L9worskWU
— AI Safety Summit (@AISafetySummit) November 2, 2023
Live from Bletchley Park, the UK Prime Minister, Rishi Sunak. Watch now.https://t.co/uI5MJxVsL5
— AI Safety Summit (@AISafetySummit) November 2, 2023
岸田総理は、年末にかけて「広島AIプロセス包括的政策枠組」の策定に向けた作業を更に加速させるとともに、広島AIプロセスを更に前進させるための作業計画も年末までに策定する予定である旨述べました。
G7を成功させ、AIのルールメイキングで日本はアドバンテージをとり、これから関連施策を実施していく大事な時、応援したいと思います。