2025年4月17日 (木曜日)

BRICKSTORM Backdoor

下記の記事が出ている。

 China-Backed Hackers Exploit BRICKSTORM Backdoor to Spy on European Businesses
 infosecurity: 16 April, 2025
 https://www.infosecurity-magazine.com/news/china-hackers-brickstorm-backdoor/

 

 

| | コメント (0)

2025年4月13日 (日曜日)

OmniGPT

下記の記事が出ている。

 AI Aggregator OmniGPT Suffers a Security Breach Exposing Sensitive Data Including Credentials
 CPO: February 21, 2025
 https://www.cpomagazine.com/cyber-security/ai-aggregator-omnigpt-suffers-a-security-breach-exposing-sensitive-data-including-credentials/

 

 

| | コメント (0)

2025年4月 1日 (火曜日)

法と情報雑誌65号

法と情報雑誌65号を作成し,Web上で公表した。

 法と情報雑誌65号
 http://cyberlaw.la.coocan.jp/Documents/LawandInformationMag_No65.pdf

この号には非個人データの支障のない流れの枠組みに関する運用指針COM/2019/250 final [参考訳] が含まれている。

| | コメント (0)

2025年3月16日 (日曜日)

官報電子化に伴う破産情報の提供変更により,関連業界は影響を受けるか?

官報電子化に伴う破産情報の提供変更により,紙ではなくPDFのみで提供されることになる。そして,プライバシー保護の必要性のある情報等に関しては,画像データとして提供され,少なくともPDF内の文字列検索機能によっては直接の文字列検索ができなくなる。

与信企業などの関連業界は影響を受けるとの報道がなされている。

しかし,影響を受けることはまずない。

画像から自動的に文字列処理する技術は既に確立されており,エラー検出能力も高まっているので,何も影響を受けない。

符号列を画像に変更しただけでは何の保護にもなっていないのだ

符号列を画像にすればプライバシー保護になると信じている無知な者や馬鹿な者が政府内に存在しているとは思われず,単に画像処理のための予算(税)で飯を食いたい人々が大勢いるだけということではないかと思われる。相当巨額のお金が半永久的に流れる。

もしプライバシー保護を最優先したいというのであれば,関連法の定めにより公示する義務のある情報の種類を絞れば解決できるので,関連法令を改正すれば良い。例えば,破産法を改正して破産宣告等を公示しないことにすれば良い。

 

 

 

 

 

| | コメント (0)

2025年3月13日 (木曜日)

EU:医療データ空間規則(EU) 2025/327による規則(EU) 2024/2847(サイバー回復力法)の一部改正

医療データ空間規則(EU) 2025/327(OJ L, 2025/327, 5.3.2025)が採択された。

  http://data.europa.eu/eli/reg/2025/327/oj

同規則の第104条により,規則(EU) 2024/2847(サイバー回復力法)の一部改正が行われている。

 

 

 

| | コメント (0)

2025年3月 3日 (月曜日)

タイとシンガポールの警察等の協力により,サイバー恐喝犯罪者が逮捕されたらしい

下記の記事が出ている。

 Prolific Data Extortion Actor Arrested in Thailand
 infosecurity: 28 February, 2025
 https://www.infosecurity-magazine.com/news/data-extortion-actor-thailand/

 

 

| | コメント (0)

2025年1月31日 (金曜日)

DeepSeek問題

下記の記事が出ている。

 DeepSeek Exposed Database Leaks Sensitive Data
 infosecurity: 30 January, 2025
 https://www.infosecurity-magazine.com/news/deepseek-database-leaks-sensitive/

***

一般に,生成AIにおける自動学習の仕組みは,関連法令の適用を無視して個人データや(営業秘密を含め)第三者の知的財産権のあるデータなどを自動取集し続けることが不可欠のものとしており,そのようにして収集したデータを記録保存しているデータベースは,他者の個人データや(営業秘密を含め)知的財産権のあるデータの集合体となっている。このようにまるごと全部収集することは,ホエーリングと呼ばれたことがあった。
それゆえ,そのデータベースが何らかの方法でコピーされると,その中に記録保存されていた他者の個人データや(営業秘密を含め)知的財産権のあるデータもまるごと全部コピーされることになる。

目下話題となっている生成AIの自己増殖とは,予めそのように設定してあるシステムにおいて,アクセス可能な別の処理系の探索と発見,発見された処理系の自動分析,自動分析された結果に基づいてチューニングされた自動的なインストールまたは移植のことを意味するのだが,そのような設定が行われているところでは,自動的な移植先が仮想敵国の軍当局や諜報機関等によって管理されているシステムやライバル企業のシステムであることがむしろ普通であるかもしれず,その意味で,自分から国家機密や企業秘密や個人の秘密をどんどん敵国やライバル企業等にまるごと全部提供してしまう「馬鹿機能」であると断定できる。

これを避けるためには,トマス・ホッブズが言うとおり,(当該システムの管理者や利用者を含め)「自己以外は全て敵」とみなすシステムでなければならず,そのようなシステムは,誰にも管理できず,誰にも利用できないシステムであらざるを得なくなる。システムの管理担当者や利用者の中には,一定確率で,必ず仮想敵国の工作員やその手先が含まれている。実は,開発責任者や開発会社の代表者自身が敵国の隠れたエージェントであり,当該システム開発の本拠地の政府や指導者を騙し続けているということもあり得る。特に,当該の者が特定の仮想敵国内に大規模な営業拠点をもっていたり,巨額の投資をしている場合には,そのようなことが十分にあり得る。

過去の歴史をつぶさに調べてみると,政府や国家指導者と極めて緊密な関係にあった者が実は敵国の工作員だったという実例は,無数に存在する。このことは,司馬遷『史記』の時代から少しも変わっていない。

しかし,ここで述べたようなトマス・ホッブズのいう意味での「自己以外は全て敵」とみなして,誰からもアクセスできないようにされているタイプの生成AIシステムは,現実には存在しない。

つまり,生成AIは,いつまでたっても「究極の馬鹿」の状態から脱することができない。

***

自動インストール先であるシステムが仮想敵のシステムであることを当然の前提にした上で,当該仮想的システムのセキュリティシステムによってブロックされないようにするための巧妙な手口を用いて潜伏し,徐々に特権レベルを上昇させながら当該仮想的のシステムの中で支配者となり,当該システムの制御(root)を完全に奪ってしまうような自動化された機能をもつ生成AIモジュールを自動インストールした場合,そのような自動インストールに成功した生成AIシステムは,かつてコンピュータウイルスと呼ばれたものと基本的には何も変わらないことになる。要するに,サイバー犯罪条約に定める違法な機器(=日本国刑法上では不正指令電磁的記録)であり得ることになる。

情報犯罪者は,実行行為者としては自然人であることを要しない。犯罪収益や機密情報の入手(奪う犯罪類型),あるいは,相手方システムや重要データの破壊(壊す犯罪類型)に成功すればそれで良く,そのことによって得られる成果が自然人に帰属しなければならないという必要性は,最初から全くない。

利得を意図する自然人のサイバー犯罪者というモデルをデフォルトとして理解することはやめるべきだと考える。

 

[追記:2025年2月6日]

関連記事を追加する。

 Cybercriminals Eye DeepSeek, Alibaba LLMs for Malware Development
 infosecurity: 5 February, 2025
 https://www.infosecurity-magazine.com/news/deepseek-alibaba-llms-malware/

 

 

| | コメント (0)

2025年1月22日 (水曜日)

英国:GOV.UK Wallet に対する批判

下記の記事が出ている。

 UK’s New Digital IDs Raise Security and Privacy Fears
 infosecurity: 21 January, 2025
 https://www.infosecurity-magazine.com/news/digital-id-security-privacy-fears/

 

 

| | コメント (0)

2025年1月17日 (金曜日)

Copilot

利用者が積極的(能動的)にダウンロードし,起動する操作をしない限り,デフォルトでは全く存在しないようにしてあるのでなければプライバシー情報や企業秘密等を無権限で収集する違法な仕組みになると考えられる。

補助機能は使用したい利用者だけに提供されるべきものだ。

補助機能が存在しないほうがよいと考える利用者を基準としてデフォルトを設計すべきだ。

Copilotを含め,現在提供されている補助機能の多くは,自然言語それ自体に関して何もわかっていないエンジニアが開発していると推定される。その証拠に,間違った示唆しか与えず,私の仕事に深刻な悪影響を与えている。幼稚園レベルの言語能力しかない者がどうして世界レベルの専門論文を書くことを仕事としている者に対して(日本語との関連において)偉そうに教示できるのだろうか?

一般に,自然言語の自動処理と関連するシステムは,1000年に1人未満レベルの真の天才だけがその開発を担当すべきだ。それ以外の者が担当すると社会全体に対して有害な影響しか与えない。

辞書に登録すれば解決するようなタイプの問題もあり得るが,そういうことを利用者が行うと,MS社が勝手にノウハウを奪っていくことになるので,すべきではない。

WindowsとOfficeは,全世界からありとあらゆる情報を収集するためのAIエージェントの一種だと考えて利用するのが正しい。

***

Windows 10のサポート期間終了が迫っている。

しかし,Windows 11に切り替えると,軍事機密,一般的な国家機密,企業秘密,個人のプライバシー等と関連する機密情報が常時MSのクラウドに吸収され続けることが明らかだ。つまり,MSから見れば素っ裸にされることになる。

Windows 11に切り替えるのではなく,全く別の方策を考えるべき時が来ている。

巨大なクラウド+AIは,常に,世界の圧倒的多数の人々にとっての潜在的敵だ。

EUを含め,世界の主要な監督当局は,最大レベルまで監督を強めるべきだと考える。

米国の関連当局を含め,世界各国の独占禁止法または競争法の主務官庁は,MSの経営とCopilotのようなAI関連のサービス部門の経営を完全に分離しなければ競争法(反トラスト法)に明白に反する事態を招くということを理解すべきだと思う。

同じことは,Googleについても言うことができる。

 

 

| | コメント (0)

2025年1月10日 (金曜日)

EU:EUとアメリカ合衆国との間のプライバシーシールド協定がGDPRに違反しているとの一般裁判所の判決

下記の記事が出ている。

 EU Commission Liable for Breaching EU’s Own Data Protection Rules
 infosecurity: 9 January, 2025
 https://www.infosecurity-magazine.com/news/eu-commission-liable-data/

 

 

| | コメント (0)

より以前の記事一覧