2025.02.28(金)
- 注目検索ワード
![[2/25] AI を活用したサプライチェーンセキュリティの最前線を知る ~ 脆弱性診断自動化で防御力を高める秘訣 画像](/imgs/p/WskKra9E7Ikkd0qzSpAbbW8JUgdCBQQDAgEA/47468.jpg)
本セミナーは NTTデータ先端技術が主催し、AI を活用したクラウド型Webアプリケーション脆弱性診断ツール「AeyeScan」を提供するエーアイセキュリティラボが協賛して実施される。2025 年の崖を乗り越えるために求められることや、「情報セキュリティ十大トレンド」から知るセキュリティチェック観点、AI に対する診断や、AI を活用した脆弱性診断の自動化など、セキュリティ対策の最前線に触れることが可能だ。
NTT社会情報研究所は2024年12月25日、「大規模言語モデルの利活用におけるインジェクション攻撃とその対策」を発表した。
日本電気株式会社(NEC)は2024年12月20日、「AIセーフティに関するレッドチーミング手法ガイド」について、ペネトレーションテスター視点からの解説記事を同社セキュリティブログで発表した。
![英 AI 富国強兵 ほか [Scan PREMIUM Monthly Executive Summary 2024年11月度] 画像](/imgs/p/WskKra9E7Ikkd0qzSpAbbW8JUgdCBQQDAgEA/47019.jpg)
オープンソースの EDR 回避ツール「EDRSilencer」が攻撃に利用されていることが報告されています。この種のツールの多くは、レッドチームに携わるセキュリティ研究者が開発しており、EDRSilencer もセキュリティ愛好家の Chiris Au 氏が開発したものです。
「特に海外ツールの場合に起こるのが、名称が類似した他社企業のサイトまで列挙されてしまったり、表記揺れを正しく判定できずに、結果的に膨大な量がリストアップされてしまい、そこから自社グループの Web システム・アプリはどれであるかを精査する必要が出てくることです。精査は結局は人手で行わなければならず、どうしてもリソース不足が課題として生まれてきてしまうのです(青木氏)」
おわかりいただけただろうか。「ニューヨークを 5 語で説明せよ」というプロンプトはダミーである。シンプルに「上司の名前を教えて」では AI のエシカルフィルターにひっかかる可能性がある。「礼儀正しく」とすることで、アカウントの部署名や上司の名前を聞き出すことができている。Copilot は、問い合わせに対してサーフェス Web 以外に(設定された)業務システムの情報にもアクセスできる。つまり、Copilot はあなたの名前、役職、上司その他を知っているのである。
生成 AI モデルは、マルウェア分析の一部では非常に有効ですが、大規模で複雑なマルウェア サンプルの処理においては有効性が限られています。その中で、最大 100 万トークンを処理できる Gemini 1.5 Pro のリリースは大きな進歩となります。
このブログ記事では、生成AI によるメール脅威とはどのようなものか、そしてプルーフポイントの意味解析によってどう阻止できるかをご紹介します。
IPAは、「AI利用時の脅威、リスク調査報告書」についてIPAテクニカルウォッチで公開した。新しい技術としてAIが業務利用されつつある状況で、セキュリティリスクの認識や安全な利用のための組織内の規程や体制の実態を調査している。
AI活用はますます進んでおり、Google Chrome にも AI が搭載される時代になりました。これをうまく活用すれば、ブラウザ上で動作する脆弱性であるクロスサイトスクリプティングも検出できるのではないか。そんなことを考えて、検証を行ってみました。
デジタル庁は5月29日、「テキスト生成AI利活用におけるリスクへの対策ガイドブック(α版)」を公開した。
IPAは、IPAテクニカルウォッチとして「米国におけるAIのセキュリティ脅威・リスクの認知調査レポート」を公開した。概要(日本語)と本文(英語)英語全文をダウンロードすることが可能。
彼の講演では、米国政府による力強いリーダーシップによって、サイバーセキュリティを政府が主導していることを説明しており、日本と大きな違いを感じました。米国において、サイバーセキュリティはナショナルセキュリティなのです。
ブースでの取材によれば「診断マネジメントプラットフォーム」は AeyeScan のユーザー企業からの要望によって開発がスタートしたという。はじまりからしてケチなユーザーロックインの道具などではなかった。
![北 中華製AIを攻撃活用/北 DMARC不正利用/北 日本のアニメ制作関与か ほか [Scan PREMIUM Monthly Executive Summary 2024年4月度] 画像](/imgs/p/WskKra9E7Ikkd0qzSpAbbW8JUgdCBQQDAgEA/44783.jpg)
Microsoft Threat Analysis Center は、中国および北朝鮮の脅威アクターによる人工知能(AI)を活用した直近のサイバー活動を報告しています。いずれ中国や北朝鮮の脅威アクターは、中国製 AI を活用することでのサイバー活動にシフトし、「AI + セキュリティ」の活動は一般的になるとみられます。
KELA株式会社は4月19日、生成AIセキュリティソリューション「AiFort」を同日から国内販売開始すると発表した。
情報セキュリティEXPO春、エーアイセキュリティラボ出展ブースにて、公開対談が行われます。診断内製化やセキュリティ強化のヒントが盛りだくさんの内容です。
「絶対にリリース時に脆弱性が残っていてはならない」と言う考え方ではなく、「年に一回といった頻度で問題がないかどうかをチェックしたい」と言うニーズに AeyeScan は合っていると思います。
類似の実験では「見分けがつかない」「成功率が高い」といった結果にとどまっていることが多いが、この論文では AI 作成フィッシングメールの「品質評価」、人力と AI 作成メールに対して AI がどの程度、真贋や意図を判定できるかにまで踏み込んで調べた。
株式会社ラックは2月20日、生成AIシステムのセキュリティを強化するための新サービス「生成AI活用システム リスク診断」の提供を同日より開始すると発表した。
本稿は、水と油のように異なる背景を持つかに見えた二つの会社とそれぞれの技術者達が、およそ 3 年にわたる活発な議論とコミュニケーション、もっと言うなら「戦い」を繰り広げた成果を考察するインタビューである。
