セキュリティ/脆弱性
日本企業では、生成AI(例: ChatGPT, Google Gemini, Microsoft Copilot)の普及に伴い、データポリシー違反が急増しています。これらの違反は、主に機密情報の外部送信、無許可ツール使用、DLP(Data Loss Prevention)ポリシーの無視が原因で、データ漏洩…
シャドーAIとは?シャドーAI(Shadow AI)とは、企業や組織内でIT部門や上層部の承認を得ずに、従業員が独自にAIツール(特に生成AI)を業務で使用する現象を指します。これは従来のシャドーIT(未承認のITツール使用)のAI版で、業務効率化を目的とした善意…
今回、Deepseek(https://chat.deepseek)に直接、「DeepSeekに社内の極秘情報を共有する場合は、情報は保護されますか?」という質問をしてみました。 はい、DeepSeekは、お客様のプライバシーとデータのセキュリティを最優先に考えています。当社のプライ…
ボットネットを防ぐための最も重要なセキュリティ対策は以下の通りです: 1. ソフトウェアとシステムの更新:すべてのソフトウェア、オペレーティングシステム、アプリケーションを最新の状態に保ちます[1][3]。これにより、既知の脆弱性が修正され、ボット…
ボットネットとは、攻撃者の目的を遂行するために協調して動作する感染したコンピューターのネットワークです。「ロボット(robot)」と「ネットワーク(network)」を組み合わせた言葉で、ネットワーク内の様々な感染マシンの半自律性を示唆しています[1]。…
DDoS攻撃の攻撃元を特定できない主な理由と特定する可能性について調べてみる。 DDoS攻撃の攻撃元を特定できない主な理由は、以下の点にあります: 1. 多数の攻撃元:DDoS攻撃は、多数のコンピューターやデバイスを使用して行われるため、単一の攻撃源を特定…
日本では最近、DDoS攻撃による被害が増加しています。2024年末から2025年初頭にかけて、複数の大規模な攻撃が発生しました。 ## 主な被害事例 - 2024年12月26日: 日本航空(JAL)がDDoS攻撃を受け、約6時間のシステム障害が発生[1]。- 2024年12月26日: 三菱UFJ…
私はネットで買い物をする場合は、Amazonをよく利用します。利用の際にはコンビニ受け取りすることが多いのですが、今回Amazonで買い物を行い、コンビニ受け取りを指定すると、下記の警告が表示されました。(なお、AmazonアカウントではGmailアドレスを登録…
今回は「AIを用いたコーディング支援ツールのリスクと懸念」について書きます。 まずはChatGPTを介して言語モデルに「あなたはセキュリティエンジニアだと想像し、GitHub Copilotのリスクと懸念に解説してください。」と質問してみました。 GitHub Copilotは…
ストリーム暗号化アルゴリズム(https://en.wikipedia.org/wiki/Stream_cipher)は、ビット単位またはバイト単位でデータを暗号化する暗号化方式です。これは、データを連続的なストリーム(データが断片化されずに連続的に流れるデータ)と見なし、データと…
RC4(Rivest Cipher 4)暗号化アルゴリズムは、ストリーム暗号化アルゴリズムの一種であり、主に通信やデータの暗号化に使用されます。以下にRC4の特徴と仕組みについて説明します。 1. 鍵スケジュール: RC4では、鍵スケジュールと呼ばれる処理を使用して、…
TKIP(Temporal Key Integrity Protocol)について解説。 TKIP(Temporal Key Integrity Protocol)は、WPA(Wi-Fi Protected Access)セキュリティプロトコルで使用される暗号化方式です。TKIPは、WEP(Wired Equivalent Privacy)の脆弱性を克服するために…
WPA(Wi-Fi Protected Access)およびWPA2(Wi-Fi Protected Access II)は、無線ネットワークのセキュリティを向上させるために設計された暗号化プロトコルです。これらのプロトコルは、WEP(Wired Equivalent Privacy)という以前の暗号化方式の脆弱性を解…
Google Bardの情報漏えいに関するリスクや懸念について書きます。 bard.google.com Googleが発表した新たな対話型AIのサービス「Google Bard」が利用できるようになっていたので、今回は対話型AIに「Please write about the risks and concerns about google…
Bing AIの情報漏洩について書きます。今回は「Bing: AI&GPT-4とチャット(https://play.google.com/store/apps/details?id=com.microsoft.bing&hl=ja&gl=US)」をインストールし、直接AIに情報漏えいに関することを質問しました。 Bing AIとの会話を行う際…
今回は、気になったサイバーセキュリティ関連ニュースがあったのでまとめてみました。この企画は不定期で配信するかもしれない。 news.yahoo.co.jp 公的機関や企業を狙ったランサムウェア攻撃は2022年以降、攻撃数や被害額が減少傾向にあり「儲からない犯罪…
従業員がChatGPTを使用する場合、雇用主のリスクや懸念について書きます。また、この記事は海外の記事を参照し気になるところをまとめたものである。 news.bloomberglaw.com ■「従業員がChatGPTを使用する場合、雇用主はこれらのリスクを考慮する必要があり…
今回はOpenAI社が開発したChatGPTに「企業が業務でChatGPTを利用する際のルールとして理想だと考えるものにはどんなものがありますか?」という質問をしてみた。 企業がChatGPTを業務で利用する場合、以下のルールを理想的なものとして考えることができます…
news.biglobe.ne.jp 本日、Twitterのツイートを拝見していると上記の記事が流れてきた。この記事が気になったので紹介する。この記事では、10代から20代を中心に人気を集める中国発のファッション通販サイト「SHEIN(シーイン)」の古いバージョンのSHEIN(…
TikTokの利用者が増加傾向で、日本の企業がアカウント開設、そして運用の需要が増えているので、TikTokの企業アカウント開設におけるリスクと懸念について書きます。 今回は最近使い倒しているAIチャットボット「ChatGPT」に「TikTokの企業アカウント開設に…
情報セキュリティ対策の観点からChatGPTを導入できない場合もあることについて解説します。 企業や組織において情報セキュリティ対策の一環として、社員や職員が、勝手に企業や組織内で許可していないソフトウェアをインストールしたりすることを禁止してい…
メールでパスワード付きのZIPファイル(圧縮ファイル)を送信後、別のメールでパスワードを送ることを、略語でPPAP(ピーピーエーピー)と呼ぶ。 これについてOpenAIが手掛ける対話型AIサービス(チャットボット)「Chat GPT」に質問してみた。質問内容は「…
ルフィ事件で注目を集めた通信アプリ「テレグラム」のデータ復元について解説します。 「テレグラム(Telegram)」は、ロシアの起業家 Pavel Durov によって設立されたマルチプラットフォームのメッセージングサービスであり、政府のデータ要求を回避するた…
ChatGPTのトレーニングデータはどんなものが使われているかについてChatGPTに質問してみました。 私、ChatGPTはOpenAIが公開したGPT-3のトレーニングデータに基づいて構築されています。GPT-3のトレーニングデータは、多数のウェブサイト、ブログ、ニュース…
ChatGPTによる情報漏えい(ChatGPTに社内の極秘情報を共有する場合は情報は保護されるのかなど)について書きます。 なぜこれについて書こうかと考えたのか。それは最近はほぼ毎日のようにChatGPTに関連した情報をニュースサイトなどで収集している。 www.gi…
LINEは信用できるメッセージアプリなのかについて書いていきます。 www.moba-ken.jp 日本ではスマートフォン・携帯電話所有者のうちLINE利用率が81.6%と高いものとなっているが、そもそも信用できるメッセージアプリなのかという疑問が私個人には湧いてくる…
blog.phylum.io Python コミュニティによって開発および共有されているソフトウェアを見つけてインストールするのに役立つ「PyPI」だが、少数の悪意のあるパッケージを配布する者たちのおかげで、オープンソース全体が影響を受けてしまうのは、とても不憫。 …
PyPI機能は、Pythonパッケージのダウンロード後にコードを自動的に実行するという警告の記事が公開されていましたので、こちらを共有します。 thehackernews.com PyPI(Python Package Index)のパッケージのほぼ3分の1が、ダウンロード時に自動でコードを実…
thehackernews.com 複数のバックドア付きPythonライブラリがAWSの秘密と鍵を盗んでいることが発覚という記事を紹介します。 上記の記事では、AWSの認証情報と環境変数を一般に公開されたエンドポイントに流出させるように設計された悪意のあるPythonパッケー…
Githubで、デジタルセキュリティとプライバシーを保護するためのチェックリストを公開されている方がいたので、共有します。 github.com
