12月24日:サイバーセキュリティ関連ニュース
イタリア、OpenAIに1,500万ユーロの制裁金 ChatGPTのGDPRデータプライバシー違反で
The Hacker News – Dec 23, 2024
生成AIのトレーニングに使用した個人データの取り扱いで一般データ保護規則(GDPR)に違反があったとして、イタリアのデータ保護当局GranteはChatGPT開発企業のOpenAIに1,500万ユーロの制裁金を科した。
Garanteによると、OpenAIは2023年3月に発生したセキュリティ侵害について当局に通知せず、十分な法的根拠がないままChatGPTのトレーニング用にユーザーの個人情報を処理したという。さらに「OpenAIは年齢確認のメカニズムを提供していないため、13歳未満の子どもが発達度や自己認識に関して不適切な対応を受けるリスクがある」と説明された。Granteは今年1月に同社の違反を発見しており、それから1年近くを経てようやく処分が下されたことになる。
OpenAIは制裁金に加え、ラジオ、テレビ、新聞、インターネットで半年間のコミュニケーションキャンペーンを実施し、ChatGPTの仕組みに関する一般の理解を促進するよう命じられた。同社はAP通信に共有した声明で、今回の決定を不相応として控訴する意向を示している。
AIで1万ものマルウェア亜種を生成し、88%の確率で検出を回避できる可能性が明らかに
The Hacker News – Dec 23, 2024
パロアルトネットワークスのインシデント対応チーム「Unit 42」の新たな分析により、大規模言語モデル(LLM)を使って有害なJava Scriptコードの新しい亜種を大量に作成できるだけでなく、これまで以上の高確率で検出を回避できることが明らかになった。
Unit 42の研究者は、既存のマルウェアを繰り返し書き換えることでマルウェア分離システムのパフォーマンスが低下し、有害なコードを無害なものとシステムに信じ込ませることができると説明。「LLMでマルウェアを最初から作ることは難しくても、犯罪者が既存のマルウェアを簡単に書き換えたり難読化したりできるため、検出が困難になる」と指摘した。
この研究では独自のアルゴリズムを使い、マルウェアの機能を変えることなく、Innocent Until Proven GUilty(IUPG)やPhishingJSなど機械学習(ML)モデルによる検出を回避できる新しいJavaScript亜種を1万種作成。これらについて、検出機能にどのような影響があるかをテストしたところ、88%の確率で有害判定を無害判定に反転させることができたという。
Unit 42はこうした亜種へ対抗するため、ディープラーニングモデルの再トレーニングも実施。すると、検出率の向上が認められたという。これを踏まえて同社は、「生成AIの力を借りることで、有害なコードの新たな亜種の規模が拡大する恐れがある」と警告する一方で、「同じ戦術を使って有害なコードを書き換えれば、MLモデルの堅牢性を改善できるトレーニングデータを生成することが可能だ」と付け加えた。
【無料配布中!】ランサムウェアレポート&インテリジェンス要件定義ガイド
ランサムウェアレポート:『2024 Ransomware? What Ransomware?』
以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。
- 主なプレーヤーと被害組織
- データリークと被害者による身代金支払い
- ハクティビストからランサムウェアアクターへ
- 暗号化せずにデータを盗むアクターが増加
- 初期アクセス獲得に脆弱性を悪用する事例が増加
- 公に報告された情報、および被害者による情報開示のタイムライン
- ランサムウェアのリークサイト – ダークウェブ上での犯行声明
- 被害者による情報開示で使われる表現
- ランサムウェアに対する法的措置が世界中で増加
- サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
- 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠
インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』
以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。
<ガイドブックの主なトピック>
本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。
- 脅威プロファイルの確立
- ステークホルダーの特定・分析
- ユースケースの確立
- 要件の定義と管理
- データの収集と処理
- 分析と生産
- 報告
- フィードバック
- 実効性の評価