総合スーパー「ゆめタウン」を展開するイズミ（広島県広島市）は、社内システムがランサムウェア攻撃を受けたと発表した。2月22日現在も復旧しきれておらず、配達サービスや各店舗のチラシ配布など一部サービスを休止している。食品売り場でも一部品薄状態が続いているという。同社は「5月1日の完全復旧を目指す」と説明している。 ランサムウェア被害があったのは2月15日。システム障害が発生したため、原因を調べたところ、ランサムウェアによって複数のサーバが暗号化されていることが分かったという。22日時点では個人情報の漏えいは確認できておらず、調査を継続中。同社はクレジット払いサービス「ゆめカードクレジット」を提供しているが、被害に遭ったシステムとは別システムで運用しているため、カード情報は漏えいしていないとしている。 攻撃の影響で停止しているサービスは、クレジットカード「ゆめカード」の新規入会・会員サイトや、

Innovative Tech： このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。Twitter: ＠shiropen2 NTTセキュリティ・ジャパンに所属する研究者らが発表した論文「Detecting Phishing Sites Using ChatGPT」は、ChatGPTでフィッシングサイトを検出する手法を提案した研究報告である。 この手法では、Webサイトから情報を収集するためにWebクローラーを使用し、その収集したデータを元にプロンプトを作成する。プロンプトはChatGPTに提示され、ChatGPTは与えられたWebサイトがフィッシングサイトかどうかを判断する。 WebクローリングとChatGPTの組み合わせにより、Webサイトの正当性や怪しさに関する情報に基

本記事はABEJAアドベントカレンダー2022の16日目の記事です！ 本日の担当は、法務・AI倫理関係を担当している古川です。12年ほど弁護士をしていまして、途中で機械学習をやってみたくなり数学から統計から機械学習の勉強をして（PRMLとかカステラ本とか読みました！）、Pythonも勉強をして、ある会社で画像解析AIの実装をしていたのですが、現在は法律・倫理関係業務だけ扱っています。 AI倫理・ガバナンス関係の記事を毎年書いているので、今年もその路線で行きます。テーマは「行く年くる年」。このテーマなら毎年書けますしね。まあ、「くる年」の議論はしませんので、厳密には「行く年」だけで2022年の振り返りでしかないのですが・・・ では、ランキング形式で2022年のAI倫理関係のニュースを振り返ります。ランキング形式が人気らしいのでランキング形式なだけで、別に1位だとか2位という順位に大した意味は

三井物産はビッグデータを暗号化し、他人が解読できない状態にして人工知能（AI）が解析する「秘密計算」のサービスを始める。外部漏洩が許されない個人情報や企業の秘密データを依頼主が暗号化してから預かり、AIで分析して依頼主に結果を戻す。これまで企業や研究機関などが漏洩に配慮して分析に踏み切れなかったデータにも、活用の余地が広がる。秘密計算はデータそのものに暗号の鍵をかけたり、複数に切り分けたりして

Innovative Tech： このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 米ミシガン大学、米フロリダ大学、電気通信大学による研究チームが発表した論文「You Can’t See Me: Physical Removal Attacks on LiDAR-based Autonomous Vehicles Driving Frameworks」は、自動運転車の周囲を検知するセンサーにレーザー光を物理的に照射して、選択的に障害物を見えなくする攻撃を提案した研究報告だ。偽の情報を注入するスプーフィング攻撃で自動運転車の物体検出モデルに影響を与え安全を脅かす。 自動運転車の知覚システムは、LiDARやカメラ、レーダーなどのセンサーを活用して、障害物回避やナビゲーション制

ＡＩ＝人工知能が通話内容を解析して特殊詐欺の疑いがあると判断した場合、自動で警察に通報が行く取り組みを警察やＮＴＴ東日本などが始めることになりました。 １９日は県庁でいわゆる「電話でお金詐欺」の防止対策を盛り込んだ協定書の調印式が行われ、県警察本部の小山巌本部長やＮＴＴ東日本、信州大学などの担当者が出席しました。 協定では専用の機器を電話に取り付けて、ＡＩが通話の内容を解析して詐欺の疑いがあると判断した場合、自動で警察に通報が行くとしています。 また、信州大学は実際の被害の情報をもとにＡＩが詐欺の疑いがある通話をより検知するように研究していくことになっています。 警察によりますとことし１月から今月１８日までの「電話でお金詐欺」の被害額は４億２８００万円余りと去年の同じ時期のおよそ２倍で、すでに去年１年間と比べても１億６０００万円以上も多くなっています。 ＮＴＴ東日本長野支店の茂谷浩子支店長

Sonatypeは6月23日(米国時間)、「Python packages upload your AWS keys, env vars, secrets to the web」において、PyPI (Python Package Index)リポジトリからAWSのクレデンシャルを窃取する複数のPytonパッケージが発見されたと伝えた。見つかったPythonパッケージはさらに収集した情報をリモートエンドホストにエクスポートし、一般に公開していたという。 Python packages upload your AWS keys, env vars, secrets to the web Sonatypeの分析により、PyPIリポジトリに複数の悪意のあるPythonパッケージがあることが明らかとなった。PyPIはPythonユーザ向けのサードパーティソフトウェアリポジトリ。PyPIリポジトリより

人気の高いプログラミング言語であるPythonには、膨大な量のパッケージコレクションが存在している。開発者はこうしたパッケージコレクションを通じて、開発に必要な機能を取得して利用している。パッケージコレクションアップデートも簡単に行え、開発において欠かすことのできない機能となっている。 しかし最近では、この機能がサイバー犯罪者に悪用されるケースが出てきている。パッケージを通じてマルウェアへの感染を促すケースから、情報窃取を行うケースまでさまざまだ。開発者はパッケージコレクションに登録されているパッケージは安全なものと認識しているが、実際にはこのようにリスクの高い「偽のパッケージ」が含まれていることがしばしば指摘されるようになってきている。 SANS Internet Storm Centerが5月24日(米国時間)、「ctx Python Library Updated with "Ext

自社のクラウド環境に侵入され、データベースから経営に欠かせないデータを持ち出される。バックアップも消され、データを取り戻したければ、身代金を支払うよう要求される──企業にとって絶対に直面したくない事態の一つだ。しかしこのシチュエーションをあえて再現し、訓練という形で自社のCEOに身代金まで要求した企業がある。クラウド会計サービスを提供するfreeeだ。 freeeは2021年10月、標的型攻撃とランサムウェアを組み合わせたシナリオを基に全社的な訓練を実施。AWS上のDBからデータを盗み出し、バックアップを消した上で、自社のCEOに社内SNSを通して身代金を要求したという。訓練を主導したのは、製品やサービスのセキュリティ向上を目指す社内組織「PSIRT」だ。 訓練を実施した背景には、情報システム部などのIT部門だけでなく、経営層まで巻き込みたい考えがあったという。同社のPSIRTが取り組んだ

三井住友銀行（SMBC）が行内で使っている業務システムのソースコードの一部が流出していたことが2021年1月29日、明らかになった。Twitterなどのソーシャルメディアで、2021年1月28日の夜ごろから流出の可能性が指摘されていた。三井住友銀行が1月29日に事実関係を調査し、行内システムのソースコードの一部と一致したことを確認した。 一部のソースコードが公開されていたのは米ギットハブが運営する「GitHub」。日本在住で三井住友銀行のシステム開発に関係した人物が投稿した可能性が浮上している。三井住友銀行は日経クロステックの取材に対し、「当行が利用しているシステムのソースコードが公開されていたのは事実。顧客情報の流出はなく、セキュリティーに影響を与えるものではないことは確認済み」（広報部）と説明している。 三井住友銀行によれば、公開されていたコードは複数ある事務支援系システムの1つに含ま

内閣官房IT総合戦略室が25日に全省庁に出した通知では、情報の機密性に留意した上で、国会議員からの要望があれば、各省庁のセキュリティポリシーに基づきZoomなどのWeb会議ツールを使い、議員レクを行えるとしている。 国会では、議員が質問する内容を事前に各省庁などに通告した上で、省庁の職員とミーティングを重ねながら質問事項をまとめる慣習がある。議員と職員とのミーティングは、これまで対面を基本としていたことから職員が議員会館などに足を運ぶ必要があった。 しかし、コロナ禍での感染防止や職員の移動の負担などを考慮し、Zoomの利用条件について検討が進められていた。 内閣官房IT総合戦略室は「これまでも一部の議員とオンラインでのレクは行っていたし、Zoom自体の使用を禁止していたわけではない」としつつ、「通知を出したことでオンラインでのレクの頻度は高まるだろう」としている。 ただ「省庁によっては省内

要約 NUROひかりのHGWはデフォルトでIPv6ファイアウオール機能が 無効 または 未搭載 の可能性がある ので、そのまま使うと家庭内LANがインターネットから見えちゃうからちゃんと設定か対策して使おうぜって話。 このドキュメントの対象とする人たち 何も考えずに速度が速いだけでNURO光を使っている、「いんたぁねっとが何かよく分かっていない」人向けです。 ネットワークやセキュリティを理解していて、自分のルータでセキュリティを維持しつつ使える！って人には全く関係ない話なので気にしなくていいです。読まなくていいです。 IPv6 と IPv4 のセキュリティ ここでは IPv6 と IPv4 のアドレスが割り当てられたPCやスマホとかがインターネットからどう見えるのか？について説明します IPv4 の場合 一般的にIPv4アドレスは1契約につき1アドレスが付与され、それをルータ呼ばれる機器を

ブックマークしました ここにツイート内容が記載されます https://b.hatena.ne.jp/URLはspanで囲んでください Twitterで共有

SMBCから ★━━【三井住友カード】━★ 【重要なお知らせ】Vpassログイン時の「パズル認証」導入について ★━━━━ 2017年8月7日 ━★ などと書かれたメールが届きました． どうやら今後Vpassにログインする際にパズル認証が必要になるらしいです． メール本文には人の手によるログイン操作であることを認証するものでございますとあります． 個人的にはDr.Walletで請求額取得できなくなりそうで嫌だなぁという感じですが，果たしてパズル認証に機械的なログイン試行を防ぐ効果はあるのでしょうか． 実際にログインページで使われてるパズル認証を見てみると，よく見かけるもので，調べてみるとCapy社のパズルキャプチャのようです． このパズル認証は既にだいぶ前に突破されています*1が，今回Vpassのログイン画面で使用されているものはピースの輪郭が白で塗りつぶされており，この手法が使えないよう

銀行口座や、クレジットカードの取引記録を一元的に管理する「家計簿アプリ」の利用者が増える中、政府は利用者の保護を図るため、こうしたサービスを提供する事業者を登録制にすることを盛り込んだ法律の改正案を、３日、閣議決定しました。 政府は家計簿アプリのように、銀行口座の情報を取得して金融サービスを提供する事業者などに、個人情報の管理を徹底させるため、事業者を登録制にすることを盛り込んだ銀行法などの改正案を３日の閣議で決定しました。 改正案では、事業者の登録の際に個人情報の流出を防ぐ体制や、会社の財務状況を国に報告することも義務づけています。 政府は利用者の保護を強化することで、最新のＩＴを活用した金融サービス「フィンテック」の開発や普及を後押ししたい考えで、法律の改正案を今の通常国会に提出し、会期中の成立を目指すことにしています。

住宅ローン「フラット35」を扱う民間の金融機関・優良住宅ローンのメールサーバに不正アクセス。顧客3万7247人の氏名や住所などの個人情報が漏えいした可能性が高いという。 住宅ローン「フラット35」を扱う民間の金融機関・優良住宅ローンは10月26日、同社のメールサーバが不正アクセスを受け、顧客3万7247人の氏名や住所などの個人情報が漏えいした可能性が高いと発表した。メールデータを外部に開示しないことと引き替えに金銭を要求するメールも届いていたという。現在のところ、個人情報の悪用などの相談は受けていないとしている。 漏えいした可能性があるのは、返済中の顧客3万5738人分の氏名や金融機関名、口座番号、引き落とし金額、借り入れ手続きした顧客112人分の氏名、住所、勤務先、年収、資金計画情報、物件情報、つなぎ資金を利用した顧客1188人分の氏名、住所、つなぎ融資実行情報――など（複数の情報に該当

2020年の東京オリンピックに向けて、テロ攻撃に対する警備をどうするかが大きな課題となっている。鉄道の世界でもサイバー攻撃をどう防いでいくかについて、議論が始まっている。 2月上旬、都内で一般財団法人・運輸政策研究機構が「東京を支える鉄道・航空におけるサイバー攻撃の脅威～2020年に向けて～」というシンポジウムを開催した。その中では、サイバー攻撃の脅威から交通機関をどう守るか、どこから攻撃されるのか、といったことが議論された。 鉄道はテロ攻撃の対象になりやすい そもそも鉄道は、コンピュータシステムが存在する前から攻撃の対象となっていた。明治時代、東京と大阪の間に鉄道を敷設する際には、東海道経由か中山道経由かが大きな論争となったが、中山道経由が候補となった理由のひとつに、攻撃を受けやすい海沿いを避けるという防衛上の理由があった。 鉄道はそれ自体が巨大なシステムであるため、テロリストから見ると