イタリア、OpenAIに1,500万ユーロの制裁金　ChatGPTのGDPR違反で

nosa

2025.10.30

12月24日：サイバーセキュリティ関連ニュース

イタリア、OpenAIに1,500万ユーロの制裁金　ChatGPTのGDPRデータプライバシー違反で

The Hacker News – Dec 23, 2024

生成AIのトレーニングに使用した個人データの取り扱いで一般データ保護規則（GDPR）に違反があったとして、イタリアのデータ保護当局GranteはChatGPT開発企業のOpenAIに1,500万ユーロの制裁金を科した。

Garanteによると、OpenAIは2023年3月に発生したセキュリティ侵害について当局に通知せず、十分な法的根拠がないままChatGPTのトレーニング用にユーザーの個人情報を処理したという。さらに「OpenAIは年齢確認のメカニズムを提供していないため、13歳未満の子どもが発達度や自己認識に関して不適切な対応を受けるリスクがある」と説明された。Granteは今年1月に同社の違反を発見しており、それから1年近くを経てようやく処分が下されたことになる。

OpenAIは制裁金に加え、ラジオ、テレビ、新聞、インターネットで半年間のコミュニケーションキャンペーンを実施し、ChatGPTの仕組みに関する一般の理解を促進するよう命じられた。同社はAP通信に共有した声明で、今回の決定を不相応として控訴する意向を示している。

AIで1万ものマルウェア亜種を生成し、88％の確率で検出を回避できる可能性が明らかに

The Hacker News – Dec 23, 2024

パロアルトネットワークスのインシデント対応チーム「Unit 42」の新たな分析により、大規模言語モデル（LLM）を使って有害なJava Scriptコードの新しい亜種を大量に作成できるだけでなく、これまで以上の高確率で検出を回避できることが明らかになった。

Unit 42の研究者は、既存のマルウェアを繰り返し書き換えることでマルウェア分離システムのパフォーマンスが低下し、有害なコードを無害なものとシステムに信じ込ませることができると説明。「LLMでマルウェアを最初から作ることは難しくても、犯罪者が既存のマルウェアを簡単に書き換えたり難読化したりできるため、検出が困難になる」と指摘した。

この研究では独自のアルゴリズムを使い、マルウェアの機能を変えることなく、Innocent Until Proven GUilty（IUPG）やPhishingJSなど機械学習（ML）モデルによる検出を回避できる新しいJavaScript亜種を1万種作成。これらについて、検出機能にどのような影響があるかをテストしたところ、88％の確率で有害判定を無害判定に反転させることができたという。

Unit 42はこうした亜種へ対抗するため、ディープラーニングモデルの再トレーニングも実施。すると、検出率の向上が認められたという。これを踏まえて同社は、「生成AIの力を借りることで、有害なコードの新たな亜種の規模が拡大する恐れがある」と警告する一方で、「同じ戦術を使って有害なコードを書き換えれば、MLモデルの堅牢性を改善できるトレーニングデータを生成することが可能だ」と付け加えた。