本ブログは「生成AIセキュリティ」シリーズの第三弾です。 これまで、DALL-E2やStable Diffusionなどの画像生成AIのSafety FilterをBypassして不正な画像を作成させる手法や、ChatGPTやBardなどの文章生成AIから機微情報を窃取する手法を対策と共に解説してきました。 今回は「Prompt経由のSQL Injection攻撃について」と題し、GPTやPaLM2などの大規模言語モデル（以下、LLM：Large Language Model）と統合したLLMアプリケーションに対するSQL Injection攻撃と対策について解説します。 バックナンバー DALL-E 2などの画像生成AIに対する敵対的攻撃[1]（2022年10月公開） ChatGPTなど生成AIによる個人情報の開示[2]（2023年5月公開） はじめに ChatGPTに採用されているGP

3行でわかる本記事のサマリ HTTP/2の利用率が高い中、その脆弱性を利用したDDoS攻撃が行われた 過去の大規模DDoSの約8.7倍である最大規模の攻撃だった 適切なWAFを採用することで、常に進化し続けるWebサイトへのサイバー攻撃に対し、迅速に対策できる はじめに 2023年10月、過去最大のDDoS攻撃が行われました。驚くべきことは、過去最大規模であるにもかかわらず、小規模なBotネットによって実行されたことです。このようにサイバー攻撃が進化していく中、ビジネスにおいて必要不可欠なWebサイトを、私たちはどのように守っていけばよいのでしょうか。 本記事では最新のDDoS攻撃の解説と、その対策方法を解説します。 目次 HTTP/2 Rapid Reset概要 攻撃方法 有効な対処法について まとめ 1. HTTP/2 Rapid Reset 概要 2023年10月10日に発表されたD

複数の被害組織での調査や攻撃活動の追跡が並行して行われており、今後、記載したもの以外の製品の脆弱性や通信先等のインディケータ情報を追記、更新する見込みですので、今後の情報更新もご確認ください。 I. 概要JPCERT/CCは、2022年5月以降におけるArray Networks Array AGシリーズの脆弱性を悪用する標的型サイバー攻撃に対する侵害調査を進めてきました。 Array Networks Array AGシリーズの脆弱性を悪用する複数の標的型サイバー攻撃活動に関する注意喚起 https://www.jpcert.or.jp/at/2023/at230020.html JPCERT/CCでは注意喚起に対するフィードバックや、サイバーセキュリティ協議会の活動を通じて、注意喚起に掲載した攻撃活動に関連すると考えられる活動を認識しました。「II. 攻撃活動の概要」の概要やインディケ

JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は11月16日、「日本の組織を標的にした外部からアクセス可能なIT資産を狙う複数の標的型サイバー攻撃活動に関する注意喚起」において、国内で運用されている複数のネットワーク製品を標的にしたサイバー攻撃が報告されているとして注意を呼びかけた。これまでにも、JPCERT/CCは次の注意喚起を発表しており、該当する製品を運用する管理者に対して必要な対策を講じることを推奨している。 Array Networks Array AGシリーズの脆弱性を悪用する複数の標的型サイバー攻撃活動に関する注意喚起 Proselfの認証バイパスおよびリモートコード実行の脆弱性に関する注意喚起 ProselfのXML外部実体参照（XXE）に関

大分県中津市の中津市民病院がサイバー攻撃を受けて、154件の取引業者の情報が流出している可能性があることがわかりました。中津市民病院では11月14日に財務会計サーバーが立ち上がらなくなり、エラーメッセージ…

那覇市は16日、市内の新規介護保険事業所を紹介する市の公式ホームページで、誤って施設管理者の生年月日や自宅住所などの個人情報が掲載されていたと発表した。11月14日に外部からの指摘で発覚し、同日中に当該データを削除した 市によると、40カ所の事業所の個人情報が10月4日から掲載されていたという。

画像：群馬大学より引用 群馬大学は2023年11月15日、群馬県より受託した「令和５年度子どもの心のケアネットワーク事業実施業務」関連研修受講者らに宛てた電子メールを誤送信し、137名のアドレスを流出したと明らかにしました。 群馬大学によると大学は2023年11月13日、研修受講者のうち情報受け取り希望者に講座開催案内メールを発信しました。ところが送信時、「BCC」ではなく「TO」を使用して送信していたことが判明。これにより、送信先全員のメールアドレスが公開される誤送信が発生しました。 誤送信は2023年11月14日に判明しました。群馬大学は判明後、受信者に謝罪しメールの削除を依頼。今後は個人情報の厳正な管理と情報セキュリティの指導を改めて徹底すると発表しました。 参照群馬県からの受託事業（子どもの心のケアネットワーク事業）に関係する 個人情報（メールアドレス）の流出について（2023年1

群馬県から本学が受託した「令和５年度子どもの心のケアネットワーク事業実施業務」において、「子どもと日常的に接する立場の医療及び教育関係者に対する研修」を受講した方のうち、研修以降の情報の受け取りを希望した方へ、11月13日（月）に講座開催案内のメール連絡を行いました。この際、本来であれば受信者本人以外の受信先が分からないよう「BCC」で送信すべきところ「TO」で送信したことにより、送信した137人に、全員のメールアドレスが公開される状態となってしまいました。 このことが11月14日（火）に判明いたしましたので、直ちに全ての受信者に対してメール削除の依頼を行いました。 メールアドレスの流出に遭われた皆様並びに委託者の群馬県様に謹んでお詫び申し上げます。 本学はこれまでも教職員並びに学生に個人情報の取り扱いに対する研修、指導を行ってまいりましたが、本件を受けて、改めて個人情報の厳正な管理、情報

船橋市内において、市町村課職員が飲酒による不注意で、職員が利用する業務用パソコンや会議資料の入った鞄を紛失しました。 現在のところ、個人情報の流出は確認されていませんが、業務用パソコンの管理について厳正を期すよう周知徹底し、再発防止に努めてまいります。 1　事案の概要 （1）紛失物：鞄 【内容物】業務用パソコン、会議資料、筆記用具及び名札 （2）発覚日時 令和5年11月18日（土曜日）午前10時00分 （3）状況 令和5年11月17日午後、当該職員は業務用パソコンを持ち出して都内での会議に出席後、帰宅途中の船橋駅周辺の飲食店で飲酒し、業務用パソコン等の入った鞄を紛失しました。 職員は、翌日18日午前10時ごろに鞄を紛失したことに気づき、経由した駅や店舗、タクシー会社等を捜索しましたが、発見できませんでした。速やかに最寄りの交番へ遺失物届を提出したほか、19日にかけて改めて交通機関や店舗等を

これは作成した2次元バーコードの元となったURLを、自社が管理していない外部の「短縮URL作成プログラム」が実行した結果、いったん全く別のページを間に挟んだり、そもそも全く別のURLへとジャンプさせたりといった、利用者が予想していなかった挙動をするようになったものだと推察されます。 全く別のページが間に挟まっていて、そこに広告が表示され、その広告が全く異なるWebサイトへの入会を誘導しているとしても、そもそもが「入会の案内」だった場合、気が付かずに入力してしまう可能性はあるでしょう。 本件は2次元バーコードを使うリスクや、見知らぬ短縮URL作成プログラムを利用することだけが問題ではないようにも思えます。特に企業においては、ITでも「生殺与奪の権を他人に握らせるな」というのが重要なのかもしれません。 短縮URLという“根本解決できない問題”にどう立ち向かうか？ 「短縮URL」は、それなりに昔