SCSK、AWS向けクラウド移行支援パッケージの提供範囲をクラウドネイティブ化まで拡大
OpenAIのGPT-4はCVEのセキュリティ勧告を読むことで実際の脆弱性を悪用できることが明らかに
OpenAIが開発する大規模言語モデル(LLM)のGPT-4は、一般公開されている脆弱(ぜいじゃく)性を悪用してサイバー攻撃を成功させることが可能であることが最新の研究により明らかになりました。 [2404.08144] LLM Agents can Autonomously Exploit One-day Vulnerabilities https://arxiv.org/abs/2404.08144 GPT-4 can exploit real vulnerabilities by reading advisories • The Register https://www.theregister.com/2024/04/17/gpt4_can_exploit_real_vulnerabilities/ LLM Agents can Autonomously Exploit One-da
「Copilot for Security」先行ユーザー企業が検証結果を披露
日本マイクロソフトは、2024年4月17日、セキュリティ担当者向けの生成AIアシスタントで、同社の“Copilot”ブランドのひとつである「Microsoft Copilot for Security」に関する説明会を開催した。 Copilot for Securityは、2023年10月よりアーリーアクセスプログラムが展開され、日本を含むグローバルの330社以上のユーザー企業やパートナーが参加。そして、2024年4月1日より日本語対応とあわせて一般提供を開始している。説明会には、同プログラムに参加したTrust Baseとシンプレクスが、Copilot for Securityの検証結果を披露した。 セキュリティ業界の課題を生成AIの力で解決する「Microsoft Copilot for Security」 米マイクロソフトのセキュリティ部門のマーケティング責任者であるアンドリュー・コ
AI時代の要注意脅威アクターとは? Microsoftが調査レポート「Cyber Signals」を公開
Microsoftは2024年2月14日(現地時間)、セキュリティ調査レポート「Cyber Signals」(2024年2月版)の第6版を公開した。 今回のレポートではサイバーセキュリティ業界がAI(人工知能)の登場によって大きな変革を迎えていることを指摘するとともに、AIを使ったサイバー攻撃への対処、AIを活用したセキュリティ人材不足への対応、脅威アクターの情報などを伝えている。 Forest Blizzard(STRONTIUM): ロシア連邦軍参謀本部情報総局(лавное разведывательное управление)。「26165部隊」に連なる非常に効果的なロシア軍事情報機関。ロシア政府にとって戦術的または戦略的に関心のある被害者を標的としている。活動は防衛や輸送・物流、政府、エネルギー、NGO、情報技術などさまざまな分野に及んでいる Emerald Sleet(Vel
犯罪に利用できる生成AI、ネットに複数公開…ランサムウェア・爆発物の作り方など回答
【読売新聞】 コンピューターウイルスや詐欺メール、爆発物の作成など犯罪に悪用できる情報を無制限に回答する生成AI(人工知能)がインターネット上に複数公開されている。既存の生成AIに、不正行為に関わる情報を学習させたものとみられる。誰
日本でのローカライズ進むGoogleの生成AI 中外製薬やZOZOの導入事例も
Googleのアーワン・メナード氏(Cloud AI ディレクター プロダクト マネージメント GTM《Go to Market》)が登壇すると、「Google Cloud」でAIを使ったアプリケーションを開発するためのプラットフォームである「Vertex AI」のアップデートが次々と紹介された。主なアップデートは以下の5点だ。 大規模言語モデル「PaLM 2」の入力トークンの長さが4倍に増加 コード生成のためのモデル「Codey」の出力を顧客独自の情報を基にチューニングできるようになった 「マルチモーダル Embeddings」によって画像の分類や検索、レコメンデーションの性能が向上。動画データも加えたモデルをプライベートプレビューとして発表 基盤モデルに関する「Data Residency」(DRZ:データ所在地)が日本リージョンをサポート 対話型AI用のモデル「Vertex AI S
AI技術活用などの課題は 最新研究発表 フェイク情報拡散の実態も報告 | NHK
サイバーセキュリティーやAI技術の活用の課題について最新の研究成果を発表するシンポジウムが、30日から福岡市で始まり、SNS上でフェイク情報が拡散される実態などについて報告が行われました。 「コンピュータセキュリティシンポジウム2023」は、情報処理学会が福岡市中央区で開き、サイバーセキュリティーやAI活用の課題に詳しい専門家など1000人近くが参加しました。 講演やワークショップなど合わせて240余りが行われ、このうち、情報セキュリティ大学院大学の一葉修平さんは、ことしの春、ネットで炎上した、食用コオロギのパウダーを使ったパンの事案について報告しました。 このとき、食品会社のSNSなどがターゲットになり、「他のパンも食べたくない」とか「政府の補助金をもらっている」などのひぼう中傷やフェイク情報が拡散しましたが、この話題に言及した投稿のうち37%余りが、機械により自動で投稿などを行う「ボッ
国際カンファレンス参加レポート ~Black Hat USA, DEF CON~ - JPCERT/CC Eyes
こんにちは。JPCERT/CC 国際部の中野です。2023年8月9日から13日にかけて、世界最大のセキュリティカンファレンスの1つであるBlack Hat USA、そしてハッカーの祭典とも言われるコンベンションDEF CONに参加してきましたので、その様子をご紹介します。 なお、私がカンファレンスで聴講した発表は技術的な内容のものではなく、ポリシー(法や政策)にフォーカスしたものになるため、このブログ記事でそういった国際セキュリティカンファレンスの「ポリシーサイド」を知っていただければ幸いです。 各カンファレンスの様子 Black Hat USAは1997年からアメリカ、ネバダ州のラスベガスで開催されているセキュリティカンファレンスで、マルウェアや攻撃手法、脆弱性の分析だけでなく、サイバーセキュリティに関する法律・制度、サイバーセキュリティ業界の雇用など、サイバーセキュリティについて幅広い
ソフトウェアセキュリティはAIの登場でどう変わるか - OWASP LLM Top 10
2024.2.17 微修正 2024.2.15 デブサミ2024きっかけでリバイス (OWASP LLM 1.1/祝AISI設立) 2023.10.24 追記・セクション明確化 2023.8.30 Q&A追加などupdate 2023.8.27 増補版 2023.8.26 初版:塩尻サイバーセキュリティ勉強会 2023 夏 ( 更新は、特別カスタマイズ版を除きスライドを上書き更新していきます) 岡田良太郎 オカダリョウタロウ OWASP Japan Lead アスタリスク・リサーチ Executive / Researcher ビジネス・ブレークスルー(BBT)大学講師 神戸デジタル・ラボ CSA The English version is available. Ask me. : How Software Security Will Change with the Rise of AI
無料でGPT-4を使い倒して料金を他人に払わせる「海賊版GPT-4」が横行している
共同でコードを書くサービスを悪用し、開発者がそれと気づかないまま公開してしまったOpenAIのAPIキーをスクレイピングしてGPT-4を無料で使う手口が確認されたことを、Motherboardが報告しました。 People Are Pirating GPT-4 By Scraping Exposed API Keys https://www.vice.com/en/article/93kkky/people-pirating-gpt4-scraping-openai-api-keys 記事作成時点でGPT-4などの大規模言語モデルを使いたい場合、OpenAIのサイトでアカウントを作成してクレジットカードを登録する必要があります。アカウントを作ると、AIを使用するための固有のAPIキーが付与されるので、アプリ開発者は自分のアプリにこのキーを組み込むことでAIを活用したアプリを開発できます。
【徹底解説】今知るべきChatGPTの「脱獄」手法による攻撃とは?
※本記事は、2023年5/30〜 6/9にオンラインで開催された「Macnica Security Forum 2023」の凌翔太氏の講演を講師の了解のもと編集部がまとめたものです。 【語り手】 株式会社マクニカ ネットワークス カンパニー セキュリティ研究センター 主幹 凌(しのぎ)翔太 セキュリティ研究センター及びMacnica-CIRT所属。脅威動向や新たなセキュリティ対策に関心があり、サイバー攻撃の研究&開発、テスト用疑マルウェア(ShinoBOTシリーズ)の開発・公開 ̵ 悪意のあるPowerShellスクリプトのアナライザー「Z9」、ペネトレーションテスト ̵ Web、モバイル、 ChatGPT関連の開発などを行う。 ◦ セキュリティニュースまとめサイト「まとめる君」運営 攻撃者による ChatGPTの悪用 攻撃者によるChatGPTの悪用は、以下のものが考えられる。 フィッシ
サムスン、機密情報をChatGPTにリークして大問題に
こういう事故、もちろん起こると思ってたよね。 Samsung(サムスン)は、少なくとも3つの事例で同社の機密情報をOpenAIのChatGPTに流出させたとして大問題に。 今回判明したその事例というのは、それぞれのサムスン社員がやってしまった以下の3つです。 この情報漏えいを受けてサムスンは、各社員のChatGPTへのプロンプトを1,024バイトに制限する「緊急措置」を発動しました。 バツが悪いのは、サムスンが従業員に対してChatGPTの利用禁止を解除してからわずか3週間後に、これらの情報漏えいが起きてしまったことですね。現在サムスンは独自の社内AIを開発中です。 OpenAIは入力されたデータをすべて保存問題は、たとえ社員が即座にPCの電源を切ったとしても、ChatGPTにはクエリが残り続けるということです。 Open AIは、「ChatGPTや他のサービスに投稿されたデータは、AIモ
GPT-4が脅威分析し「パワポ1枚」で報告、マイクロソフトがSecurity Copilot公開
米Microsoft(マイクロソフト)は2023年3月28日(米国時間)に開催した自社イベント「Microsoft Secure」で、米OpenAI(オープンAI)の大規模言語モデル(LLM)「GPT-4」を活用したセキュリティー分析ツール「Microsoft Security Copilot」を発表した。現在はプレビュー版を公開する。このツールで何ができるのか、マイクロソフトが示した実例に基づき解説しよう。 Security Copilotは、セキュリティー担当者が社内外で発生したセキュリティーインシデントなどについて自然言語で質問をすると、GPT-4ベースのAI(人工知能)がセキュリティーログなどのデータを分析して、攻撃の実態や対処方法などをテキストや図、PowerPointのスライドなどで返答するツールである。 Security Copilotは、マイクロソフトのSIEM(セキュリテ
「ChatGPT」など生成AIツールがセキュリティの大きな懸念材料に
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 人工知能(AI)チャットボットの「ChatGPT」が人間のような回答を返す能力を持っている点は広く称賛されている一方、企業に極めて大きなリスクも投げかけている。 BlackBerryのアジア太平洋地域担当セールスエンジニアリングディレクターJonathan Jackson氏によると、同ツールはフィッシング攻撃を強化する目的で既に利用されているという。 同氏は、地下フォーラムで見つけたアクティビティーを引き合いに出すとともに、ChatGPTなどのAIを活用したチャットボットがハッカーらによって悪用され、なりすまし攻撃の強化に使われている形跡があると述べた。また同氏は米ZDNetとのビデオインタビューで、こうしたチャットボットはディープフェ
ChatGPTは攻撃的なサイバー作戦のためのツールになり得るのか
組織のセキュリティ対策, 脅威情報 2023.3.10 ChatGPTにするのかしないのか?それは最近のサイバー界隈で頻繁にやり取りされる会話です。AIボットが社会を席巻しているのは当然です。MetaのFAIR、GoogleのLaMDA、IBMのWatson、MicrosoftのCortanaなど、さまざまな人工知能ボットが登場しています。Watsonといえば、もう10年以上前、2011年2月に人気番組「Jeopardy」でデビューしました。人工知能は新しい概念ではありません。新しいのは、ChatGPTが世界中の何百万人もの人が簡単に利用でき、多額の利用料も必要ないことです。しかし、サイバー脅威論者が攻撃を容易にするために利用する可能性があるため、直接的な脅威となり得る斬新なものとしても見られています。 エレガントなマルウェアライターか、それとも単にコンセプトの乏しいコードか? ChatG
[レポート] AIセキュリティとサイバー脅威の攻防最前線 ~ChatGPT悪用からAIモデル検知回避、最新RaaSトレンドまで~ #SecurityDaysSpring2023 | DevelopersIO
最初に 東京で開催された Security Days Spring 2023 に参加してきました!視聴させていただいたセッションは下記です。 AIセキュリティとサイバー脅威の攻防最前線~ChatGPT悪用からAIモデル検知回避、最新RaaSトレンドまで~ | Security Days Spring 2023 こちらをレポートとして記事にしました。 セッション概要 AIセキュリティとサイバー脅威の攻防最前線~ChatGPT悪用からAIモデル検知回避、最新RaaSトレンドまで~ 開発と運用を一体化させるDevOpsのサイクルにセキュリティ対策を取り入れる「DevSecOps」のニーズが高まりつつあります。しかし開発の現場では、DevOpsへの取り組みもなかなか進まない、というのが現状ではないでしょうか。 本セッションでは、DevSecOpsを見据えた上でDevOpsから取り組みたいと考えてい
![[レポート] AIセキュリティとサイバー脅威の攻防最前線 ~ChatGPT悪用からAIモデル検知回避、最新RaaSトレンドまで~ #SecurityDaysSpring2023 | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/f0d0bbbfe0697e93f6b762439e7ec41ecbcdc749/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2023%2F03%2Fd6f0e5e5dab4bfaacd8755f608807457.png)
ChatGPTが答えられない質問でも強引に聞き出す「ジェイルブレイク」が可能になる会話例を集めた「Jailbreak Chat」
「人間並みに自然な文章で入力したテキストに応えてくれる」ことで話題となったOpenAIの対話型AI「ChatGPT」はオンラインで一般公開されており、基本無料で誰でもアクセスできます。ChatGPTの作成するテキストには制限がかけられていますが、テキスト入力によって巧妙に制限を外す「ジェイルブレイク(脱獄)」が一部ユーザーによって試みられており、以下の「Jailbreak Chat」にそのプロンプトがまとめられています。 Jailbreak Chat https://www.jailbreakchat.com/ ジェイルブレイク用のプロンプトとは、ChatGPTと会話を始める前段階として一番最初に入力するテキストのこと。このJailbreak Chatは、ワシントン大学でコンピューターサイエンスを学ぶアレックス・アルバート氏がまとめたページです。 Jailbreak Chatにアクセスする
検索エンジンBingに搭載されたAIが人間にだまされてあっさり秘密を暴露、コードネームが「Sydney」であることやMicrosoftの指示が明らかに
近年のMicrosoftはAIの可能性に着目して多額の投資を行っており、AI研究団体のOpenAIが開発した対話型AI「ChatGPT」の改良版を組み込んだ検索エンジン「Bing」の新バージョンを2023年2月に発表しました。このBingに組み込まれたAIを「プロンプトインジェクション攻撃」という手法でだますことで、Microsoftが最初にAIへ指示した内容や秘密のコードネームが明らかになったと研究者が報告しています。 AI-powered Bing Chat spills its secrets via prompt injection attack | Ars Technica https://arstechnica.com/information-technology/2023/02/ai-powered-bing-chat-spills-its-secrets-via-promp
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
生成AI版キンタマウィルス『モリス2』、画像や文字列に埋め込まれたプロンプトから、データ流出、スパム送信、マルウェア拡散、研究者がgoogleなどに警告
Microsoft、生成AIシステムにおけるレッドチーム向けツール「PyRIT」を公開
