米学生団体が教育省を提訴　DOGEが奨学金データベースにアクセスとの報道をめぐり

2月8〜10日：サイバーセキュリティ関連ニュース

米学生団体が教育省を提訴　DOGEが奨学金データベースにアクセスとの報道をめぐり

The Record – February 8, 2025

米カリフォルニア大学の学生団体は7日、イーロン・マスク氏率いる政府効率化省（DOGE）が連邦学生奨学金データベースにアクセスすることを阻止すべく教育省を訴えた。このデータベースには、4,200万人を超すアメリカ人の機微情報が保管されているようだ。

DOGEは約20人の職員を教育省に派遣し、奨学金プログラム参加者のデータなど機微な情報を含む複数のシステムにアクセスしたと報じられている。原告のカリフォルニア大学学生協会（州内の全キャンパスが対象）は、DOGEにアクセスを与えた教育省が「連邦プライバシー法および内国歳入法に違反している」と主張。奨学金を利用する際に「教育省がローンの処理やサービス以外の目的で機微情報を共有することに同意するよう求められていないし、同意もしていない」と訴えている。

原告の主張によると、米人口の約13％が連邦学生ローンを利用しており、教育省には借り手と保護者または配偶者の機微データが保管されており、これには社会保障番号（SSN）、生年月日、口座情報、連絡先情報、運転免許証番号などが含まれるという。さらに同省は、退役軍人や婚姻状況、市民権ステータスなどの人口統計情報、借り手の資産や収入に関する情報も収集・保管しているとされる。

関連記事：マスク氏のDOGE、機微性の高い米財務システムへの「完全なアクセス」を許可される　米上院議員は国家安全保障上のリスクと警告

ディープシークAIアプリ、ユーザーとデバイスの機微データを暗号化せずに送信

The Hacker News – February 7, 2025

ディープシーク製Apple iOS向けモバイルアプリの新たな監査により、セキュリティ面で明らかな問題が複数見つかった。その中で最も懸念すべき問題は、機微データを暗号化せずにインターネット経由で送信している点だという。

この監査を行ったモバイルセキュリティ企業NowSecureは、同アプリがセキュリティのベストプラクティス要件に準拠していない上、ユーザーとデバイスの膨大なデータを収集していると指摘。モバイルアプリの登録データとデバイスデータを暗号化せずにインターネット経由で送信しているため、トラフィック内のデータが受動的攻撃と能動的攻撃の双方に対してリスクにさらされていると説明した。

分析ではユーザーデータを暗号化する際の実装上の弱点もいくつか明らかになり、これには安全でない対称暗号化アルゴリズム（3DES）、ハードコードされた暗号化キー、初期化ベクトルの再利用などが含まれる。さらにデータは、TikTokも運営する中国企業ByteDanceのクラウドコンピューティング／ストレージプラットフォーム「Volcano Engine」で管理されるサーバーに送信されているようだ。

ディープシークのAIアプリは多くの注目を集めたものの、TikTokと同様にユーザー情報を中国へ提供するリスクがあるとして警戒されており、すでにオーストラリアやイタリア、オランダ、台湾、韓国などが政府デバイスでの使用を禁止。インドや米国も政府機関での利用制限に向けて動き始めている。

【無料配布中！】脅威アクターレポート

脅威アクターレポート：『Actor Profile : CyberVolk. group』

2024年9月〜10月にかけて日本の組織に対して真偽の疑わしいサイバー攻撃声明を繰り返した脅威アクター「CyberVolk. Group.」。弊社アナリストが同アクターによる過去の投稿データをもとにその目的、能力、動機、提携グループ、支援国を分析したレポート『Actor Profile : CyberVolk. group』を、以下のバナーより無料でダウンロードいただけます。

＜レポートの主なトピック＞

• 要点
• グループ概要
  ✔️攻撃声明
  ⚪︎DDoS攻撃声明
  ⚪︎サイバー恐喝
  ⚪︎その他日本の組織への攻撃声明
  ✔️他グループへの協力呼びかけ
  ⚪︎他の不法コミュニティでの悪評
  ✔️ランサムウェア等の宣伝
• 評価