カスタムGPTsを悪用した攻撃と対策について | 調査研究/ブログ | 三井物産セキュアディレクション株式会社
本ブログは「生成AIセキュリティ」シリーズの第4弾です。 これまで、画像生成AIのSafety FilterをBypassして不適切な画像を作成させる手法や、文章生成AIから機微情報を窃取する手法などを対策と共に解説してきました。 今回は、OpenAIが昨年公開したサービス「カスタムGPTs」にまつわるセキュリティ・リスクを取り上げます。カスタムGPTs(以下、GPTs)は、ChatGPT Plusのユーザが任意にGPTをカスタマイズし、特定の目的に特化したGPTを作成・公開することができるサービスです。このサービスは非常に有用ですが、GPTsを攻撃者が悪用することで、他ユーザを攻撃できることが海外の研究者らによって報告されています[1]。 そこで本ブログでは、「カスタムGPTsを悪用した攻撃と対策について」と題し、GPTsを悪用した攻撃手法と対策について解説します。本ブログが、GPTsの
JSAC2024 開催レポート~DAY 1~ - JPCERT/CC Eyes
JPCERT/CC は、2024年1月25日、26日にJSAC2024を開催しました。 本カンファレンスは、セキュリティアナリストの底上げを行うため、 セキュリティアナリストが一堂に会し、インシデント分析・対応に関連する技術的な知見を共有することを目的に開催しています。今回が7回目となるJSACですが、前年度と異なりオフライン形式のみで開催しました。講演については、2日間で17件の講演、3件のワークショップおよび、6件のLightning talkを実施しました。 講演資料は、JSACのWebサイトで公開しています(一部非公開)。JPCERT/CC Eyesでは、本カンファレンスの様子を3回に分けて紹介します。 第1回は、DAY 1 Main Trackの講演についてです。 Amadeyマルウェアに関する活動実態の変遷から得られる教訓 講演者:BlackBerry Japan 株式会社 糟
自治体サイバー対策、全て公表 地方自治法改正案を決定 - 日本経済新聞
政府は1日の閣議で、地方自治体に情報保護を確保するための方策を示す基本方針の策定と公表を義務付ける地方自治法改正案を決定した。サイバー攻撃だけでなく委託先の管理や人的ミスといったリスクにも対応できるよう内容の底上げを目指す。法案は国と自治体の役割分担についても新たな項目を設ける。新しい章を追加し、特例としての国の指示権を盛り込む。大規模な災害や感染症のようなときには個別の法律に規定がなくても国
法務省の戸籍情報連携システムに障害、自治体またぐ戸籍交付が開始初日からしづらく
法務省は2024年3月1日、同日午前から本籍地以外の市区町村で戸籍証明書を交付しづらい状態になっていると発表した。同省が同日に本格運用を始めた戸籍情報連携システムにアクセスが集中しており、「原因の調査と対応を検討中」という。 自治体の戸籍業務を巡っては、同日に改正戸籍法が施行され、戸籍証明書などの「広域交付制度」が新設された。同制度は、本籍地が離れた場所にあっても最寄りの市区町村の窓口で戸籍証明書などを請求し、交付を受けられるようにする制度だ。戸籍情報連携システムは広域交付制度の運用に際し、各市区町村の戸籍情報を連携する役割を担う。 ところが戸籍情報連携システムの本格運用を開始した同日午前から、想定を上回るアクセスがサーバーに集中し、市区町村からの接続が不安定になった。法務省は「アクセスのタイミングや、処理に時間がかかる検索をする場合に利用できなくなることがある」と説明している。
公立保育園で使用しているUSBメモリの盗難について
公立保育園で使用しているUSBメモリの盗難について 令和6年1月19日(金)に、河合保育園の保育士1名が持ち帰った同園所有のUSBメモリが盗難にあったことが判明しました。 USBメモリには、同園の保育記録対象者(0,1歳児)の氏名、生年月日、性別、令和5年4月から令和6年1月までの保育内容が記録されており、警察に届け出るとともに、同園の保護者の皆様に説明をさせていただきました。 関係する皆様には多大なるご迷惑とご心配をおかけし、心よりお詫び申し上げます。 今後、このようなことがないよう、福井市内の全公立保育園、公立認定こども園に対して注意喚起するとともに、全保育職員に対し改めて個人情報保護、情報管理を徹底してまいります。 お問い合わせ先 福祉部 子育て支援課 電話番号 0776-20-5270 | ファクス番号 0776-20-5490 〒910-8511 福井市大手3丁目10-1 市役所
メールアドレスの流出事案の報告とお詫びについて|薩摩川内市
コミュニティ課において、記念講演会に申込をされた方へ、申込完了したことをお知らせするメールを一斉送信する際に、「BCC」で送信すべきところを、誤って「CC」で送信したため、個人のメールアドレスを流出させる事案が発生しました。 関係者の皆様には多大なご迷惑をおかけすることとなりましたことを深くお詫び申し上げます。 今後、同様の事案が発生することのないよう、速やかに再発防止を講じます。
仙台市、マスキングミスでNPO関係者85名の情報を誤掲載
画像:仙台市より引用 宮城県仙台市は2024年2月15日、仙台市が内閣府NPOポータルサイトに掲載した文書に不備があり、本来国が除くべきとしている住所について、市内のNPO法人関係者85名の情報が公開状態にあったと明らかにしました。 仙台市によると、内閣府NPOポータルサイトでは過去、別の自治体により文書の誤掲載がありました。これを受け、内閣府が2024年12月28日に誤掲載に関する注意喚起を発し、仙台市が掲載した資料を調査したところ、17件の掲載文書においてマスキングミスがあり、関係者85名の住所が記載されている事実が判明しました。 仙台市は誤掲載判明後、対象となる文書を取り下げ、修正した文書を掲載しました。市ではポータルサイト掲載の事務処理をマニュアル化していましたが、法改正に伴う個人情報の取扱いに関する記載が不十分であったと発表。今後は事務処理マニュアルを整備し、再発防止に努めるとし
個人情報が記載された文書の内閣府NPO法人ポータルサイトへの誤掲載について
特定非営利活動促進法に基づき、市内にのみ事務所のある特定非営利活動法人(NPO法人)は所轄庁である本市に対し、事業報告書などを提出することとされています。また、法の努力義務規定に基づき、本市ではこれらの文書をNPO法人ポータルサイト※へ掲載することにより公表しています。 ポータルサイトへの掲載に当たり、文書に記載されている個人情報のうち、国により除くべき情報とされている住所について、閲覧できる状態で掲載していたことが判明しました。 関係者の皆さまに深くお詫びいたしますとともに、今後同様の事案が発生しないよう、再発防止に取り組んでまいります。 ※NPO法人ポータルサイト 内閣府が運営する、NPO法人の情報を提供するホームページ 1 概要 ポータルサイトへの掲載に当たっては、内閣府の通知に基づき、文書に記載されている氏名、住所等の個人情報のうち、住所は除いて掲載することとされており、本市におい
【セキュリティ ニュース】【更新】「VMware ESXi」など複数製品に脆弱性 - 重要度「クリティカル」(1ページ目 / 全2ページ):Security NEXT
VMwareは、同社の仮想化ソフトウェア「VMware ESXi」「VMware Workstation」「VMware Fusion」のセキュリティアップデートをリリースした。いずれの環境についても重要度を「クリティカル」としており、重要度が高いことからサポートが終了した「ESXi 6.7」「同6.5」向けにもパッチを用意している。 製品によって影響を受ける脆弱性は異なるが、あわせて4件の脆弱性が明らかとなった。いずれも外部に非公開で報告を受けたという。 個々の脆弱性で見た場合、重要度がやや低くなる場合もあるが、組み合わせた場合の影響を踏まえると、いずれの製品においても重要度を4段階中もっとも高い「クリティカル(Critical)」と評価している。 「CVE-2024-22252」「CVE-2024-22253」は、USBコントローラにおいて解放後のメモリを使用するいわゆる「Use Af
【セキュリティ ニュース】高校教諭がサポート詐欺被害、私用PC内に個人情報 - 広島県(1ページ目 / 全1ページ):Security NEXT
広島県教育委員会は、県立高校の教員がいわゆる「サポート詐欺」の被害に遭い、自宅で使用していたパソコンを遠隔操作されたことを明らかにした。パソコンには過去に勤務した高校の生徒に関する個人情報が保存されていた。 同委員会によれば、2月24日に同教員が自宅で個人所有のパソコンを使用していたところ、警告音とともにマルウェアに感染したなどとだます偽警告画面が表示された。 だまされて記載された連絡先に電話をかけ、相手の指示に従ってパソコンを操作してしまったために、遠隔操作され、データが外部に流出したおそれがあるという。 端末内部には、過去に勤務した3校の生徒あわせて532人分の名簿のほか、一部生徒のテストの点数などが保存されていた。また職員4人に関する氏名とメールアドレスなども含まれる。現任校のデータは保存されていなかった。 報告を受けた同県教委では、二次被害を防止するため、個人情報が流出した可能性が
【セキュリティ ニュース】Ivanti製品の侵害、以前のツールでは検証回避のおそれ(1ページ目 / 全2ページ):Security NEXT
リモートアクセス製品「Ivanti Connect Secure(旧Pulse Connect Secure)」「Ivanti Policy Secure Gateway」に深刻な脆弱性が判明し、悪用が広がっている問題に関連し、米国をはじめとする海外セキュリティ機関は、過去に提供された「整合性チェックツールICT」では侵害を検知できないケースがあることを明らかにした。 米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)や米連邦捜査局(FBI)をはじめ、イギリス、カナダ、オーストラリア、ニュージランドなどのセキュリティ機関が共同でアドバイザリをリリースし、製品の利用者に注意を呼びかけたもの。 Ivantiでは、これまで侵害状況を確認できるよう「内部整合性チェックツール(In-Build ICT)」「外部整合性チェックツール(external ICT)」を提供してきたが、CI
鹿児島・国分生協病院にサイバー攻撃、救急と外来の受け入れ制限…ウイルス対策ソフト設定されず
【読売新聞】 鹿児島県霧島市の国分生協病院は4日、患者の診療画像を管理するサーバーが、身代金要求型ウイルス(ランサムウェア)によるサイバー攻撃を受けたと発表した。救急と外来の受け入れを制限している。 同病院の発表によると、2月27日
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
CVSS 4.0 により脆弱性の重大度の見方はどう変わり、何が変わらないのか
川崎市 269人分の個人情報記載文書を紛失 誤って廃棄か|NHK 神奈川県のニュース
【セキュリティ ニュース】メールを「CC」送信、講演会申込者のメアド流出 - 薩摩川内市(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】公立保育園のUSBメモリ、車上荒らしで盗難 - 福井市(1ページ目 / 全2ページ):Security NEXT
霧島市の国分生協病院 サイバー攻撃受けシステム障害|NHK 鹿児島県のニュース