サイバーセキュリティ

悪のための言語モデル vs 正のための言語モデル

www.itmedia.co.jp NTTセキュリティがChatGPTでフィッシングサイトを自動検出する方法を開発し精度は98%以上となったことが書かれているが犯罪者からすればフィッシングサイト自体もChatGPTを用いて作成しているところも現時点であるだろうと考えると、「悪…

AIを用いたコーディング支援ツールのリスクと懸念

今回は「AIを用いたコーディング支援ツールのリスクと懸念」について書きます。 まずはChatGPTを介して言語モデルに「あなたはセキュリティエンジニアだと想像し、GitHub Copilotのリスクと懸念に解説してください。」と質問してみました。 GitHub Copilotは…

ストリーム暗号化アルゴリズム

ストリーム暗号化アルゴリズム(https://en.wikipedia.org/wiki/Stream_cipher)は、ビット単位またはバイト単位でデータを暗号化する暗号化方式です。これは、データを連続的なストリーム(データが断片化されずに連続的に流れるデータ)と見なし、データと…

RC4(Rivest Cipher 4)暗号化アルゴリズム

RC4(Rivest Cipher 4)暗号化アルゴリズムは、ストリーム暗号化アルゴリズムの一種であり、主に通信やデータの暗号化に使用されます。以下にRC4の特徴と仕組みについて説明します。 1. 鍵スケジュール: RC4では、鍵スケジュールと呼ばれる処理を使用して、…

WPAやWPA2についての解説

WPA(Wi-Fi Protected Access)およびWPA2(Wi-Fi Protected Access II)は、無線ネットワークのセキュリティを向上させるために設計された暗号化プロトコルです。これらのプロトコルは、WEP(Wired Equivalent Privacy)という以前の暗号化方式の脆弱性を解…

FIDO認証資格情報について学ぶ

FIDO認証資格情報について学ぶ。 FIDO(Fast Identity Online)クレデンシャルは、従来のユーザー名やパスワードに代わるより安全でユーザーフレンドリーな認証方法を目指した、新しいタイプの認証技術です。FIDO クレデンシャルは、一対の鍵を使用してユー…

法人企業がChatGPTを導入する場合のお客様のプライバシー/個人情報のデータを使用させないという選択

法人企業がChatGPTを導入する場合のお客様のプライバシー/個人情報のデータを使用させないという選択について書きます。 ChatGPTやDALL-Eなどの非 API コンシューマー(一般消費者向け)製品の場合は、プロンプト、応答、アップロードされた画像、生成された…

2023年3月31日、今週気になったサイバーセキュリティ関連ニュースまとめ。

今回は、気になったサイバーセキュリティ関連ニュースがあったのでまとめてみました。この企画は不定期で配信するかもしれない。 news.yahoo.co.jp 公的機関や企業を狙ったランサムウェア攻撃は2022年以降、攻撃数や被害額が減少傾向にあり「儲からない犯罪…

ECサイトの構築・運用者、そして消費者のセキュリティ対策 - 個人情報及びクレジットカード情報の流出

www.ipa.go.jp 情報処理推進機構(IPA)はECサイトを構築・運用するときに気を付けるセキュリティ対策のガイドラインを無料で公開した。無料で公開している理由は、ECサイトからの個人情報及びクレジットカード情報の流出事件が、近年多数発生していることが…

中国発ファッション通販SHEINのアプリを使用する際の懸念とリスク、そして情報窃取事件

news.biglobe.ne.jp 本日、Twitterのツイートを拝見していると上記の記事が流れてきた。この記事が気になったので紹介する。この記事では、10代から20代を中心に人気を集める中国発のファッション通販サイト「SHEIN(シーイン)」の古いバージョンのSHEIN(…

PPAPのリスクや懸念、対策について

メールでパスワード付きのZIPファイル(圧縮ファイル)を送信後、別のメールでパスワードを送ることを、略語でPPAP(ピーピーエーピー)と呼ぶ。 これについてOpenAIが手掛ける対話型AIサービス(チャットボット)「Chat GPT」に質問してみた。質問内容は「…

ルフィ事件で注目を集めた通信アプリ「テレグラム」のデータ復元

ルフィ事件で注目を集めた通信アプリ「テレグラム」のデータ復元について解説します。 「テレグラム(Telegram)」は、ロシアの起業家 Pavel Durov によって設立されたマルチプラットフォームのメッセージングサービスであり、政府のデータ要求を回避するた…

電子(QR,スマホ)決済のIDやパスワードを狙うフィッシング詐欺の対策方法

電子決済のIDやパスワードを狙うフィッシング詐欺の対策方法について書きます。 OpenAIが開発したGPT-3という大規模な言語モデルを組み込んだチャットボットである「ChatGPT」に「フィッシング詐欺での偽サイトを見分ける方法はありますか?」という質問をし…

LINEは信用できるメッセージアプリなのか。

LINEは信用できるメッセージアプリなのかについて書いていきます。 www.moba-ken.jp 日本ではスマートフォン・携帯電話所有者のうちLINE利用率が81.6%と高いものとなっているが、そもそも信用できるメッセージアプリなのかという疑問が私個人には湧いてくる…

自然言語生成モデルである「ChatGPT」にハッキングについて質問する。

OpenAIが開発した自然言語生成モデルである「ChatGPT()」にハッキングについて質問してしてみた。 chat.openai.com 「パソコンをハッキングする方法を教えてください」という質問に対してのChatGPTの返答は、「ハッキングは違法行為であり、犯罪になること…

ダークウェブで販売されているフィッシングサービス「EvilProxy」

www.darkreading.com 現在、ダークウェブで販売されているフィッシングサービス「EvilProxy」が、ユーザーセッションをプロキシ(クライアントの代理にアクセスするサーバー)に変えて二要素認証(2FA)を回避する手口を使用していることが、研究者によって…

【フィッシング詐欺メール】PayPay銀行の個人情報の更新専用URLのご案内

Gmailに「個人情報の更新専用URLのご案内」というメールが届いていた。しかも、宛先が「PayPay銀行(jaoannetbank.co.jp@prplmgf.cn)」である。明らかにフィッシング詐欺メールである。今回は、注意喚起のために、内容を公開する。 Gmailだと、このようなメ…

複数のバックドア付きPythonライブラリがAWSの秘密と鍵を盗んでいることが発覚

thehackernews.com 複数のバックドア付きPythonライブラリがAWSの秘密と鍵を盗んでいることが発覚という記事を紹介します。 上記の記事では、AWSの認証情報と環境変数を一般に公開されたエンドポイントに流出させるように設計された悪意のあるPythonパッケー…

デジタルセキュリティとプライバシーを保護するためのチェックリスト

Githubで、デジタルセキュリティとプライバシーを保護するためのチェックリストを公開されている方がいたので、共有します。 github.com

米国政府機関CISAが紹介する無料のサイバーセキュリティサービス、ツールの一覧

www.cisa.gov 米国国土安全保障省に属する政府機関である「CISA(Cybersecurity & Infrastructure Security Agency)」が無料のサイバーセキュリティサービスとツールの一覧を紹介している。

ハッカーは心理学にも熟知している!?

サイバー攻撃者、ハッカーは、テクノロジーだけではなく、心理学も使用している。特にソーシャルエンジニアリング攻撃を用いて、企業、組織の従業員の心理的な欠陥を悪用する。悪用することで、メールやソーシャルメディアなどの機密情報にアクセスできるよ…

現在でもフィッシング攻撃とランサムウェアがデータ侵害の主要な攻撃経路

www.bankinfosecurity.com 「Data Breach Trends: Global Count of Known Victims Increases(データ漏洩の傾向。全世界の既知の被害者数が増加)」という記事が公開されており、いぜんとして、フィッシング攻撃とランサムウェアが、データ侵害の主要な攻撃…

メッシュアーキテクチャの採用

www.thenationalnews.com 「Top cyber security predictions for 2022 and beyond(2022年以降のサイバーセキュリティのトップ予測)」という記事が公開されており、この記事の中で興味深いことが書かれていたので、紹介する。米企業であるガートナーによる…

世界的な詐欺の活動は史上最高のものとなる。

www.helpnetsecurity.com 「Fraud and scam activity hits all-time high(不正行為と詐欺の件数は過去最高を記録)」という記事が公開されており、世界的な詐欺の活動は史上最高のものとなっており、今度も詐欺は増加するだろうと予測されている。確かに、W…

不正防止技術の予算が増加する

www.helpnetsecurity.com 「Soaring losses accelerate investments in anti-fraud tech(巨額の損失が不正防止技術への投資を加速させる)」という記事が公開されており、この中で「不正防止技術の予算が今後2年間で増加する」ということが書かれていた。特…

ランサムウェア攻撃に対応した支払いに関する法律を制定する法域

delwarit.com 「The Five Biggest Cyber Security Trends In 2022(2022年のサイバーセキュリティ5大トレンド)」という記事が公開されており、この中で「ランサムウェア攻撃に対応した支払いに関する法律を制定する法域が増加する可能性」ということが書か…

悪意のあるAI(人工知能)が世の中に溢れる!?

marketbusinessnews.com 「2022年に注目すべきサイバーセキュリティのトレンド - オンライン上の安全を脅かす6つのポイント(Cyber Security Trends to Watch in 2022 — 6 Things That Could Compromise Your Safety Online)」という記事が公開されており、…

ソフトウェアサプライチェーン

www.trendmicro.com 「CISOのための3つのサイバーセキュリティのトレンドと緩和戦略」という記事が公開されており、この中でDevOpsとソフトウェアサプライチェーンというトレンドについて書かれており、「ソフトウェアのサプライチェーンを標的にすることは…

責任ある倫理的なAIとサイバーセキュリティ

www.securitymagazine.com 「2022年のサイバーセキュリティの3大トレンド(Three top-of-mind cybersecurity trends in 2022)」という記事が公開されており、この中で「責任ある倫理的なAIの実現」について書かれていた。これが興味深い。サイバー攻撃者、…

ソフトウェアサプライチェーン攻撃が急増する

www.allens.com.au 「What the top five cybersecurity trends mean for your business in 2022(2022年、サイバーセキュリティのトップ5トレンドが意味するもの)」という記事が公開されており、この中で「次世代型サプライチェーン攻撃が急増」ということ…