本ブログは「生成AI x セキュリティ」シリーズの第二弾です。 前回は「DALL-E 2などの画像生成AIに対する敵対的攻撃」と題し、OpenAIのDALL-E 2やStability AIのStable Diffusionに実装されているSafety Filterをbypassして、悪意のある画像を生成する手法と対策を解説しました。 今回は「ChatGPTなど生成AIによる個人情報の開示」と題し、ChatGPTなどの生成AIを介して個人情報が開示されるリスクについて解説します。 昨今大きな話題となっているChatGPTは、12年間にわたる大量のWebクロールデータや英語版Wikipediaなどペタバイト級の情報に加え、ChatGPTユーザーが入力した文章（プロンプト）も学習していると言われています。このため、過去に誤って公開された機微情報を含むWebページや、ユーザーが誤入力した社外秘や

Kaseyaへの攻撃に使用されたランサムウェア「REvil」が暗号化したファイルの復号に使用可能なマスターキーがロシアのハッカーフォーラムで流出したことを確認しました。 図１　ロシアのハッカーフォーラムで公開されたマスターキーの文字列 上記のフォーラムで公開されたのは一枚のスクリーンショット画像のみですが、画像内にマスターキーの文字列（以下）が写っていることがわかります。 ・REvilのマスターキー：OgTD7co7NcYCoNj8NoYdPoR8nVFJBO5vs/kVkhelp2s= ただし、スクリーンショットにも掲載されている復号ツール「REvil Decryptor」のEXEは通常身代金を支払った一部の被害組織のみに提供されるため一般公開されておらず、別途入手する必要があります。 弊社ではいくつか過去のREvilの攻撃で被害組織に渡されたと思われる「REvil Decryptor」

東京五輪に関係するファイルを装った以下のファイル名を持つマルウェアが2021年07月20日(火) 15時頃、VirusTotalにアップロードされたことを確認しました。 【至急】東京オリンピック開催に伴うサイバー攻撃等発生に関する被害報告について.exe 早速ですが、本記事では該当検体の解析結果を共有します。 該当のファイルはVirusTotalにフランスからアップロードされており、ジェネリック検出が多いもののすでに複数のアンチウイルス製品によって検知されていることを確認しています。 図１　VirusTotalにアップロードされた不審なファイル 上記のファイルのプロパティには以下の通り何も情報が付与されていません。 図２　プロパティ情報 該当ファイルはアイコンを見る限りPDFのように見えますが、アイコン偽装されており、フォルダの詳細表示で見た場合は以下のように拡張子がEXEであることがわか

早速ですが、まずは以下の図１をご覧ください。 真ん中にメッセージボックスが表示されていますが、このメッセージボックスを表示するプロセスがどこから起動しているのか、つまり、実体EXEファイルの場所がこの図からわかるでしょうか？ 図 1　プロセス情報がデタラメになっている様子 図１では、Process ExplorerやProcess Hackerで見る限り、プロセス名は「こんばんは！★」(拡張子なし)となっています。各ツールで表示されたプロセスのプロパティ情報を見ると、Process Explorerでは実体の場所がExplorer.exeであるかのように見えてしまっています。 一方でProcess Hackerでは、メッセージボックスのプロセスがMicrosoftの有効なデジタル署名を持っているかのように見えており、実体の場所が「こんばんは！★」を指しているように見えます。 では該当の「こ

11月に入り、海外のメディアを中心にCAPCOMのサイバー攻撃に関する情報が広がっています。 該当のサイバー攻撃には「Ragnar Locker」と呼ばれるランサムウェアが関与しているという報道がされており、実際に「Ragnar Locker」の攻撃グループは11月９日犯行声明を公開しました。 それらの公開情報を元に調査を進めたところ、関与していると推測される検体の存在をVirusTotal上で確認しました。 本記事では該当の検体に関する解析結果を共有します。 なお、本記事で言及する検体については、弊社がVirusTotalにアップされていることを発見した後に、BleepingComputerなどの各記事の元となった検体と同一であることを、それらの海外メディアが情報源とした人物に確認済みです。ただし、弊社ではCAPCOMのサイバー攻撃で実際に使用された検体であるという事実確認は取れていませ

たいへん申し訳ございませんが、お客様のアクセスしたページ（URL）を見つけることができませんでした。 お客様がお探しのページ（URL）は、サイトリニューアルに伴い変更したページの可能性がございます。 恐れ入りますが、下記サイトマップより該当する内容をお探しください。

10月22日（月）～25日（木）に、長野市のホテルメトロポリタン長野で開催された「コンピューターセキュリティシンポジウム2018」（以下、CSS2018）に参加してきました。今回は聴講のみではなく、CSS2018内の企画セッション「OSSセキュリティ技術ワークショップ」（以下、OWS）のプレゼンターとしても参加し、8月にBlack Hat USA ArsenalとDEFCON Demo Labs/AI Villageで発表した「Deep Exploit」と「GyoiThon」の概要および設計思想を紹介しました。 また、OWSで紹介したDeep Exploitの進化版がBlack Hat EUROPE Arsenalに採択されましたので、12月6日（木）に英国・ロンドンのEXCEL Londonにてお披露目します。 そこで、本ブログでは、筆者が登壇したOWSの様子と、Black Hat EU

EMOTETというマルウェアは2014年にはじめて確認されて以来、様々な変化を遂げてきました。当初はオンライン銀行の認証情報窃取を主な目的としたオンラインバンキングマルウェアとして認知されていましたが、その後、様々な変更が加えられ、現在においては2014年出現当時とは全く異なる挙動や目的を持ったマルウェアとなっています。 2018年末現在、EMOTETは世界中で積極的に拡散され被害拡大が懸念されており、日本国内も例外ではなく、様々な企業へEMOTETの感染を狙った不正メールが届いている状況にあります。 そうした状況にもかかわらず、少なくとも国内においては、今のところ現在のEMOTETに関する感染から挙動に至るまでのまとまった情報が見当たりません。 そのため、今年11月～12月に実際の国内企業への攻撃で使用されたEMOTETの不正メールを元に、我々が調査した結果と現在のEMOTETの全体像を

Metasploit Framework（以下、Metasploit）とは、ペネトレーションテストや脆弱性診断で使用される監査ツールの1つであり、Port scanningやExploitの実行、および脆弱性調査のための様々な補助ツールが含まれたコマンドラインツールです。 今回、筆者はMetasploitと機械学習を連携させ、対象ホストに対する探索行為から侵入までを自動的に実行する独自の検証ツール「Deep Exploit (beta)」（以下、Deep Exploit）を作成しました。本ツールを先日開催されたSECCON YOROZUに出展したところ好評を得ましたので、本ブログで設計思想や実装方法およびデモをお見せします。 現時点のDeep Exploitはbeta版ですが、以下の行為を実行可能です。 Intelligence gathering 対象ホストの情報をPort scanni

2月8日から韓国で開催されている平昌オリンピックが日々世間を賑わせているさなか、平昌オリンピックを狙ったサイバー攻撃に関する情報が水面下で流れています。 2月9日頃から平昌オリンピック組織委員会の内部でシステムトラブルが発生していた問題で、2月11日になり平昌オリンピック組織委員会から一連の障害はサイバー攻撃によるものと明らかにされました。 また、CiscoのTalosはこの攻撃に用いられたとみられるマルウェア「Olympic Destroyer」（オリンピック・デストロイヤー）に関する情報を公開しました（※1）。（なお、Talosは公開時点で当該情報を中程度の信頼度としています） (※１：Olympic Destroyer Takes Aim At Winter Olympics：http://blog.talosintelligence.com/2018/02/olympic-dest

2017年10月24日頃からウクライナやロシアを中心に「Bad Rabbit」と呼ばれている新たなMBR破壊型かつワーム型ランサムウェアの脅威が拡大しています。 結論から述べると、「Bad Rabbit」はNotPetyaのように横展開を行うワーム挙動を持ち、ファイルの暗号化の他、ディスクも暗号化対象に含むランサムウェアとなります。この、ディスクの暗号化や、認証情報／パスワードを利用して横展開するワーム活動を行う挙動を持つ点等はNotPetyaと同じであり、NotPetyaと同様の注意や対策が必要です。また、ネットワークを介したワーム活動の範囲は、NotPetyaと同じくローカルネットワークの範囲に限定されるため、WannaCryほどの全世界的な被害拡大は発生しないものと想定しています。 NotPetyaと異なる点としては、ワーム本体であるDLLをドロップする親検体（EXEファイル）が存在

1. はじめに 先日、某セキュリティ系の勉強会で「AIにWebアプリケーション診断をさせてみる」と題し、Webアプリケーション診断（以下、Webアプリ診断）を行う人工知能（以下、診断AI）のデモを行ったところ、意外にも好評でしたので、本Blogで少し深堀したいと思います。 なお、本Blogでは機械学習アルゴリズムにも触れますが、これらの詳細な解説は行っておりません。機械学習アルゴリズムの詳細については、「6.参考文献」に示した書籍やWebサイトで解説されておりますので、そちらでご確認いただければ幸いです。 それでは、診断AIの概要について解説を始めます。 2. 最終目標 以下の動作を実現できる「診断AI」を目指して開発を進めています。 「人間の診断員と同じように、診断対象のWebアプリをクローリングしながら診断を行い、発見した脆弱性を開発者、または、サイトオーナに報告することができる。」

MBSDの国分です。 先日参加したワーキンググループ（後の懇親会）で、私を含む３人が同じポーズで写真を撮られていたことがわかりました。 偶然その３人が別々のウェブプロキシツールを使っていたため、並べるとプロキシツールのエバンジェリストっぽいと言われました。 日々プロキシツールの普及に努めている本物のエバンジェリストさんに失礼なので、ジェリストくらいでいいです…。 とはいえ折角の機会なので、私が普段愛用しているプロキシツール「Burp Suite」について紹介したいと思います。 Burp Suiteは様々な機能を持っており、その中で私が最も使う機能は「Proxy」です。 診断やデバッグに必須の機能です。詳細は割愛します。 一方、最も好きな機能は「Manual testing simulator」です。この機能は有償のプロフェッショナル版にのみ含まれる機能で、無償版では使えません。 この機能は