2024 年 8 月に公開された Jenkins サーバの脆弱性を悪用する、エクスプロイトコードが公開されています。
空売り投資家が 4 月に、グローブ・ライフで詐欺行為が広く行われ、女性従業員へのレイプや麻薬使用、見返り要求などを可能にした「セクハラ文化」が存在すると訴える報告書を発表し同社株価は急落した。新たに明らかになったのは、恐喝未遂の背後にいる正体不明の脅威アクターが、空売り投資家にも影響を及ぼそうとしたという事実である。
認識を誤らせる心理に「確率的な損失と確定的な損失」の評価の違いがある。たとえば、100 %の確率で 1,000 万円損失するリスクと、10 %の確率で 1 億円を失うリスクがあった場合、一般的な人は後者を選ぶだろう。だが、期待値はどちらも同じ(1000万円)である。確率的な損失なら「自分は助かる側に入る」と、のんきに楽観性バイアスが語る幻想を信じてしまう。
一部の詐欺師は AI 支援型のソーシャルエンジニアリングツールを使用しており、ディープフェイクを使用した破壊的攻撃の可能性もあるが「一般的にこの技術は、大半のサイバー犯罪者が求めるような高い投資収益率を期待できるものではない」と彼女は言った。「私は 3 文字表記の機関に友人や接点がありますが、彼らによると、国家による攻撃はディープフェイクの作成からは目を背け、電話を使った、より伝統的ボイスフィッシングの手法に戻りつつあるようです」とデニス氏は述べた。
注目のインシデントとして、英国のロンドンの公共交通機関(Transport for London, TfL)に対するサイバー攻撃事件について報じられています。
そもそもの本研究の趣旨は、AI やツールを使った自動攻撃や、犯罪組織による高度にシステム化・組織化された攻撃ではなく、生身の人間がどんなサイバー攻撃や破壊活動をどのように行っているかを調べるものだった。彼らの研究は、攻撃プロセスやマルウェアの分析ではない。そんなものすでにさまざまな調査研究がなされている。本講演の肝は「侵入したサーバー上での攻撃者の行動分析」これに尽きる。
2024 年 6 月に公開された PHP の脆弱性を悪用するエクスプロイトコードが公開されています。
中国は巨大な市場だが、SpaceX や Amazon のような宇宙ブロードバンド事業者が中国政府の規制案に積極的に同意するとは考えがたい。特にイーロン・マスク氏が自称する言論の自由への熱烈な支持は、コンテンツを監視し、削除を要求するという中国の願望とは相容れないからだ。とはいえ、中国でテスラを大量に販売したいというマスク氏の願望の方が熱烈である可能性は否定できない。
新聞社は最新の研究成果を世に知らしめる役割も持っているような気がするのだが、現在の新聞は実務者として「偽・誤情報が情報空間に氾濫し脅威となっていること」をせっせと喧伝している。これは検証された事実ではないので、この主張に固執すること自体が陰謀論者に限りなく近い。
犯罪組織には手に入れたデータを再販する部門があり、RaaS(Ransomeware as a Service)を運営しているケースもある。最近は脆弱性を悪用して侵入することが多いため、脆弱性やエクスプロイトの情報を収集、分析する部門もある。さながらソフトウェア会社のように運営されており、リクルートも行っている。こうした犯罪組織と関わることは、組織にとって大きなリスクとなる。
Mastercard は過去 3 年間で、30 億ドル以上を費やしてセキュリティの人材を獲得してきた。Recorded Future は最近で最大の買収かもしれないが、Mastercard は 2021 年に ID 管理の Ekata の買収に 8 億 5,000 万ドルを費やし、同じ年に暗号詐欺検知の CipherTrace を非公開の金額で買収した。
2024 年 7 月に公開された、GeoServer およびその関連ツールの脆弱性の悪用を試みるエクスプロイトコードが公開されています。
おわかりいただけただろうか。「ニューヨークを 5 語で説明せよ」というプロンプトはダミーである。シンプルに「上司の名前を教えて」では AI のエシカルフィルターにひっかかる可能性がある。「礼儀正しく」とすることで、アカウントの部署名や上司の名前を聞き出すことができている。Copilot は、問い合わせに対してサーフェス Web 以外に(設定された)業務システムの情報にもアクセスできる。つまり、Copilot はあなたの名前、役職、上司その他を知っているのである。
クレディセゾンとe-ながさきどっとこむ、何か背中合わせに銃を構えて敵と対峙するような、信頼し合うバディの連携をも感じさせるプレスリリース発信である。何よりもユーザーのメリットを重視せんとする意志を感じるこうした事例を本連載は今後も積極的に紹介し称賛していく所存だ。
木曜の朝、「フォーティビッチ(Fortibitch)」を名乗る何者かがダークウェブのあるフォーラムに投稿し、440 GB もの Azure SharePoint ファイルをダウンロードできるようにした。この何者かは、データを流出させない代わりに身代金を支払うことをフォーティネットに提案したと主張したが、同社は支払いを拒否したと述べている。
AWSアカウントについて、脆弱性を研究したエンジニアがいる。Aqua Securityの研究者(Yakir Kadkoa氏、Michael Katchinskiy氏、Ofek Itach氏)が、AWSアカウントに関する脆弱性とそれを利用することで成立するAWSのシャドーリソースを使った攻撃方法を発見した。
セキュリティ予算は引き締めの方針が取られているようで、CISO は「これまでになく予算の伸びは緩やか」と報告しており、さらにその 3 分の 1 以上が「今年の予算は横ばいまたは削減の方向」と回答している。
2024 年 4 月に公開された、glibc の脆弱性を悪用する攻撃検証コードが公開されています。
脅威分析の報告として、デンマーク陸軍合同通信大隊とデンマーク王立国防大学の研究者が、オックスフォード大学出版局の Journal of Cybersecurity に、戦争におけるサイバー作戦の有効性が非常に限定的であると主張する論文を寄稿しています。
連邦取引委員会(FTC)のプライバシーおよび個人情報保護部門の副部長であるベンジャミン・ワイズマンが労働者監視の問題について講演を行った。ワイズマンは「一部の企業やベンダーは、労働者が労働組合を結成するリスクを予測すると称するツールを開発している」と断言した。
登壇者はなんと NTT「グループ」の CISO だ。こんな役職の人は、もし同じ社内に勤めていても、下手すると生涯お目にかかる機会が無いレベルだろう。しかも講演は KITTE のワンフロアで、席数も 100 を下回る規模。幕張メッセの大会場なら納得だが、これでは「雲の上の人」が市井に降り立ったような違和感がある。これが筆者が感じた一つ目の疑問だった。