今宵のサイバーセキュリティについて気になること:ChatGPTへのDDoS攻撃ハッカー集団による犯行声明、Atlassian Confluenceデータセンターおよびサーバーの脆弱性 など

ChatGPTへのDDoS攻撃が確認されており、ハッカー集団による犯行声明

ChatGPTへのDDoS攻撃が確認されており、ハッカー集団による犯行声明が出されました。

マイクロソフトは、セキュリティとデータ上の懸念を理由に、OpenAIのChatGPTへの従業員のアクセスを一時的に制限しました。今後の動向に注意が必要です。

犯行理由

  • OpenAIはイスラエルと協力的で、ネタニヤフ首相などイスラエルの高官と会談で、CEOはイスラエルへの更なる投資を言及している
  • AIは兵器の開発やモサドのような諜報機関で使われており、イスラエルはパレスチナ人をさらに弾圧するためにもAIを利用している
  • OpenAIはアメリカの企業だから 、我々はアメリカ企業をターゲットにする。
  • ChatGPTはイスラエル寄りであり、パレスチナに対して偏っていることがtwitterで暴露されている。

なお、これら一連の報道に対してサムアルトマンは、「報復としてマイクロソフト365をブロックしているという噂は全く根拠がない」とpostしています。

Atlassian Confluenceデータセンターおよびサーバーにおける不適切な認証の脆弱性

アクティブなエクスプロイト報告がいくつか確認され、攻撃範囲の拡大に伴い、CVE-2023-22518 を CVSS 9.1 から10 にエスカレーションしました。

CVE-2023-22518 – Improper Authorization Vulnerability In Confluence Data Center and Server

アクティブなエクスプロイトは未だに終息してない模様です。

source: GREYNOISE TRENDS

IT サービス管理(ITSM)および資産管理ソリューションのSysAid オンプレミス サーバーにゼロデイを発見

CVE-2023-47246 パストラバーサルの脆弱性により任意のコードを実行する可能性

攻撃者 DEV-0950 (Lace Tempest)が悪用、バージョン23.3.36へ更新することを推奨します。

SysAid On-Prem Software CVE-2023-47246 Vulnerability

rapid7が11/9に公開した記事に記載されたfavicon hashを用いてShodanで検索したところ計413件、日本は1件でした。

source: shodan

QNAP複数の脆弱性

QTS、QuTS hero、QuTScloud コマンドインジェクションの脆弱性
CVE-2023-23368 CVSS 9.8 Critical 

QTS、マルチメディア コンソール、およびメディア ストリーミング アドオンの脆弱性

CVE-2023-23369 CVSS 9.0 Critical 

早急にアップデートすることを推奨します。

情報流出でNTT社長が謝罪 USBメモリーは全面使用禁止に

情報流出でNTT社長が謝罪 USBメモリーは全面使用禁止に

USBメモリーを厳密に管理することは現実的ではないため、USBメモリー全面使用禁止は対策の一つだと思います。

10月17日 NTTビジネスソリューションズに派遣された 元派遣社員によるお客さま情報の不正流出について4つの対処策が発表されております。(今後、抜本的対処を検討)

NTTビジネスソリューションズに派遣された元派遣社員によるお客さま情報の不正流出について(お詫び)

但し、互いの信頼関係がなければ同様の事故を防ぐことは難しいと感じます。これは派遣社員の在り方を見直す時かもしれません。

全銀システム障害についてNTTデータ会見

主な原因は、環境構築時(事前準備)にテーブルを生成するプログラムに不備があった。これにより破損したデータが共有メモリに展開され、手数料の処理で破損したデータを読み込んだことで異常終了が発生した模様。

改めて、人が作ったシステムには必ず不具合があり、それをマネジメントして品質を確保することが重要だと思います。

NTTデータグループは、本間社長を筆頭とする「総点検タスクフォースチーム」を立ち上げました。システム障害の真因分析や再発防止策検討のほか、同社関連の重要システムの総点検を実施します。

システム総点検タスクフォース 推進体制

GPTsリリース

特定の目的のために作成できる ChatGPT のカスタム バージョン。

これまで、多くのパワー ユーザーは、ChatGPTを特定の目的に合わせて、プロンプトと命令セットのリストを管理し、それらを手動で ChatGPT にコピーしてきましたが、その全てをGPTが行うようになりました。

そして、GPTs を作成して公開共有できるGPT ストアを、今月後半にリリースします。

https://openai.com/blog/introducing-gpts

OpenAI DevDay, Opening Keynote

私も早速GPTsで、ISO GuardianとZerotrust Consultantを作成してみました。

ISO Guardian

ISO/IEC 27001のガイダンス、ベスト プラクティス、規格に関する特定の質問への回答を提供する「ISO Guardian 」、更に情報セキュリティ、サイバーセキュリティ及びプライバシー保護を考慮したISO/IEC 27002の実践的なアドバイザリーを追加、機能強化しました。

Zero-Trust Security Consultant

ゼロトラスト成熟度モデルと継続的な診断および緩和(CDM)やAWAREスコアリングなど、ゼロトラストの考え方に基づいたコンサルティングするよう設計されており、詳細なガイダンス、ベスト プラクティス、規格に関する特定の質問への回答を提供する「Zero-Trust Security Consultant 」をGPT Builderで作成しました。

英主催 AI安全サミット:中国、米国、EUが協力することで合意

英主催 AI安全サミット:中国、米国、EUが協力することで合意

岸田総理は、年末にかけて「広島AIプロセス包括的政策枠組」の策定に向けた作業を更に加速させるとともに、広島AIプロセスを更に前進させるための作業計画も年末までに策定する予定である旨述べました。

G7を成功させ、AIのルールメイキングで日本はアドバンテージをとり、これから関連施策を実施していく大事な時、応援したいと思います。

投稿者: 二本松 哲也

SPbD:Security&Privacy by Design Founder ー OWASP Member ー ITは人々の生活をあらゆる面でより良い方向に変化させること ー 競争原理から共創原理へ