うわー。これは控えめに言ってやばすぎます。学会でのインシデント史上最悪レベルの大事件だと思います。
【緊急】AI/ML学術界で史上最大級のセキュリティ事故が発生

11月27日、OpenReviewのシステム脆弱性により、プラットフォーム上で運営されている全ての学術会議で著者・査読者・エリアチェアの身元情報が漏洩しました。これは匿名査読という学術の根幹制度が完全に崩壊したことを意味する極めて深刻な事態です。

■ 影響を受けた主要会議（一部）
・ICLR（全年度）
・NeurIPS（全年度）
・ICML（全年度）
・ACL / ACL Rolling Review
・EMNLP（全年度）
・CVPR（全年度）
・AAAI
・その他、OpenReview上の各種ワークショップ・シンポジウム

つまり、AI・機械学習・自然言語処理・コンピュータビジョン分野のほぼ全ての主要国際会議が影響を受けています。推定で数万人規模の研究者の情報が露出した可能性があります。

■ 何が漏洩したのか
・論文著者の氏名・所属機関
・査読者の氏名と担当論文の対応関係
・エリアチェア（採否判断を行う上級査読管理者）の氏名と担当論文
・過去の年度の論文についても遡及的にアクセス可能だった

通常、学術会議ではダブルブラインド査読（著者も査読者も互いの身元を知らない）によって公正性を担保していますが、この前提が完全に破壊されました。

■ すでに発生している実害
ICLR 2026の公式声明によると：
・談合の試みの報告を複数受けている
・査読スコアの異常な上昇を観測
・著者から査読者への脅迫・賄賂の可能性

これは理論上のリスクではなく、現実に進行中の不正です。「スコアを上げなければ報復する」「金銭で評価を買う」といった行為がすでに行われている可能性が高いと考えられています。

■ 技術的な原因
OpenReviewの `profiles/search` というAPIエンドポイントで、本来は権限を持つユーザーのみがアクセスできるべき情報が、認可チェックなしで一般公開されていました。URLのパラメータを変更するだけで、特定の会議の査読者リストを誰でも取得できる状態でした。これはセキュリティの基本中の基本である「アクセス制御」の不備（Broken Access Control）であり、OWASP Top 10で最も深刻な脆弱性とされています。

バグは11月27日10:09(UTC)に報告され、11:00には修正されましたが（対応自体は迅速）、一部のユーザーは11月12日頃からこのバグが存在していたと報告しており、2週間以上にわたって悪用可能だった可能性があります。

■ ICLR 2026の緊急対応
・全ての論文に新しいエリアチェアを再割り当て
・査読スコアを議論期間開始前の状態に巻き戻し（議論の成果も全て無効化）
・査読者による追加のスコア変更や議論参加を禁止
・公開コメント機能を無効化
・不正行為者は投稿論文をデスクリジェクション（査読なし不採択）＋複数年の会議出禁
・OpenReviewは多国籍法執行機関と連携し、悪用者への法的措置を検討

■ なぜこれほど深刻なのか
1. 査読者への報復リスク：低評価をつけた査読者が特定され、SNSでの晒し上げ、職場への苦情、将来的な報復査読などのリスクに晒されます。これにより、今後査読を引き受ける研究者が減少する可能性があります。

2. 学術的公正性の崩壊：著者が査読者を特定できてしまうと、圧力・脅迫・賄賂によって評価を歪めることが可能になり、論文の質による公正な評価という学術の根幹が機能しなくなります。

3. 過去の論文への遡及的影響：過去に不採択になった論文の著者と査読者の関係が判明することで、「あの時の恨み」に基づく将来的な報復が可能になります。学術コミュニティ内の人間関係・権力構造が可視化されたことの影響は計り知れません。

4. 採択結果への永続的な不信：ICLR 2026で採択された論文は「本当に公正に評価されたのか」という疑念が常につきまといます。不採択になった著者は「談合で落とされたのでは」と考える可能性があります。

5. 中央集権的インフラのリスク：AI/ML分野の主要会議のほぼ全てが単一のプラットフォーム（OpenReview）に依存していたことで、一つのバグが分野全体を揺るがす結果となりました。

■ 今後への影響
・査読者のなり手がさらに減少（すでにAI/ML分野では投稿数爆発により査読者不足が深刻）
・オープンレビューへの移行議論の再燃
・分散型査読システムの研究加速
・OpenReview以外のプラットフォームへの移行検討
・学術会議の運営体制・セキュリティ基準の見直し

この事件は、デジタル化された学術インフラの脆弱性と、品質保証システムそのものの信頼性が問われる歴史的な転換点となる可能性があります。

詳細な技術解説：https://t.co/olDV8tGCao November 11, 2025

アサヒさんのランサム事案の記者会見（QA含む約2時間）からセキュリティクラスタ的に気になるであろう箇所をピックしました。以下16項目でまとめています。

・2025年9月29日（月）午前7時頃システム障害が発生し被害確認。詳細な日時は未特定だが約10日ほど前に同社グループ内の拠点にあるNW機器を経由し侵入。その後主要なDCに入り込みパスワードの脆弱性を突いて管理者権限を奪取し移動を行い、主に業務時間外に複数サーバに偵察侵入し、アクセス権認証サーバからランサムウェアが一斉実行され起動中のサーバやパソコンが暗号化された。

・被害発覚の10日ほど前から侵入されていた可能性があるが、その間は導入していたEDRでは検知できなかった。攻撃が高度で巧妙であったため。EDRのレベルをより上げる課題がある。強化して監視の仕組みも見直す。

・侵入経路はNW機器。VPN機器かどうかはセキュリティの都合から明言出来ないが世間の想像とそう違いはないと思います、ということで留めたい。入口になり得る"脆弱性"の改善は完了済み（※この"脆弱性"という言葉は社長発言だが狭義の既知脆弱性＝CVEという意味では使ってなさそう）。VPN機器は存在していたが対応過程で廃止済み。

・被害が拡大しないよう安全性を確保しながら慎重に復旧を進めたため時間を要した。バックアップデータは取得しておりそれが生きていたことは幸いだった。バックアップは複数媒体で取得していた。大部分が健全な状態で保たれていた。

・明確な個人情報の漏洩は、従業員に貸与したPCの情報を確認しているが、システムからのデータ漏洩は未確認で可能性として考えている。

・社員の個人貸与PCに情報を残すことは許可しておらずクラウド保存をポリシーで定めていたが、一時的に保管していた個人の情報が残っておりそのタイミングで攻撃がきた。

・工場現場を動かすOT領域は一切影響を受けておらず無傷で、工場は通常稼働ができる状態だった。出荷関係のシステム被害により作っても持って行き先がないので製造に結果的に影響が出た。システムを使わないExcelなどで人力での出荷で対応していた。

・NISTフレームワークに沿った成熟度診断は実施しており一定以上のアセスメントが出来ていたため十分な対策を保持していると考えていた。外部のホワイトハッカーによる模擬攻撃も実施してリスク対処をしていたので、必要かつ十分なセキュリティ対策は取ってたと判断していた。しかし今回の攻撃はそれを超える高度で巧妙なものだった。

・被害範囲は主にDC内のサーバとそこから繋がってるパソコン。端末台数は37台。サーバ台数は明言できない。

・攻撃者に対する身代金は支払っていない。攻撃者と接触もしていない。脅迫も請求も直接は受けてない。

・身代金支払い要求への対応については障害早期では当然考えたが、バックアップあり自力復旧ができること、支払っても復旧できない事例があること、支払いが漏れた場合他の攻撃者からも狙われるリスクがあるため、慎重に捉えていた。反社会勢力への支払いのぜひもその前段階から相当ネガティブな懸念としてあった。復号キーがきたとしても復元にすごく時間がかかるという認識もしたので要求がきてもおそらく支払ってない。

・現場対応は非常に負担が大きく長時間労働等を懸念していた。リーダとして社員の健康が一番大事で命を削ってまで対応しなくて良いということをトップから繰り返し全社発信していた。対応を支援してくれた外部ベンダにも伝えていた。

・自然災害含む経営リスクに関して10個のリスクを定めてサイバーリスクも含めて十分な対策を取っていたと思っていたがより高度化しないといけない教訓となった。他のリスク項目も対策を見直す。

・他社には、経験からの教訓として、全体を広く見て対策を最新に保つことの必要性を伝えたい。結果的に全体として脆弱性を見れてなかったので、ないと思ったところにあったので侵入されたし、対策も最新、最強でなかったので障害が発生したので、それを裏返ししてほしい。

・経営者はテクノロジーやITに興味を持ってるというだけでは済まない。全てに気を配り対策に踏み込めるようなところまで入っていくべきということを実感した。知見を高めガバナンスに活かしていくべき。

・セキュリティの都合で開示できない情報は多々あるが、社会のために情報をより公開すべきというのは認識しており状況が整ったら検討したい。

記者会見動画リンク

https://t.co/2bG06AK1pH November 11, 2025

現在奈良地裁で審理が続いている山上徹也被告人の公判でも証拠提示や証言として取り上げられている「やや日刊カルト新聞」について。

私が論説や編集部門の最高責任者である主筆を務める「やや日刊カルト新聞」ですが、約半年前からサイト管理者によって設定が変更され管理画面にアクセスできなくなっています。新たな記事の掲載や過去に寄稿した記事の編集ができなくなっており、編集権の侵害状態が続いています。サイト管理者に問い合わせていますが、回答を得られていません。

言論の自由、報道の自由が担保される新聞社においてサイト管理者によって「編集面の最高責任者＝当該新聞社の全記者の代表」である主筆の言論の自由、報道の自由が侵害されている状態が続いています。事業運営の都合で編集面が干渉されることがないよう、サイト運営者とは切り離された独立した存在として「主筆」という役職があるのですが、編集面の全権をもって統括する「主筆」の編集権が侵害されている現在の「やや日刊カルト新聞」は編集権を持たないサイト管理者によって恣意的に運営されている状態です。

よって、現在「やや日刊カルト新聞」名義で告知されているトークイベント「やや日刊カルト新聞主催 カルト新年会2026」については、何の連絡も受けておりません。毎年1月4日に出演してきた阿佐ヶ谷ロフトでの「カルト新年会」については、出演料の取りまとめをしていた前述のサイト管理者によるギャラの未払い問題も起こっております。なお、当該未払い問題については交渉の上、解決済みです。
#やや日刊カルト新聞 #鈴木エイト #山上徹也 #カルト新年会 #主筆 #編集権 November 11, 2025

小2で不登校になった長男は学校に対する拒否感が強く勉強は全くできなかった。基礎勉強の代わりに小3から資格取得に専念した。他の勉強せず資格勉強に振り切って毎年資格を取得した。今までにMOS(Word、Excel、Access)、電気工事士2種、国内旅行取扱い管理者資格を取得した。基礎勉強は6年でやっと https://t.co/k440IKsTrc November 11, 2025

ちなみに天気が良い日で、たまーにですが #御嶽山 が見れるとのこと⛰️

そんな日は「本当に今日は良い天気だな☀️」と写真撮ってくれた運航管理者は感じるそうです！

名古屋空港からこんなに綺麗に見えるなんてびっくりですね😳 https://t.co/OgPZMAkiBW https://t.co/26xeJqGExI November 11, 2025

@ttotu02 あまりにも大味すぎますね
これで承認出してる管理者が悪いです
リソース避けないは言い訳にして欲しくないですね… November 11, 2025

ローレンスが望まぬ牧場の管理者に据えられ(比喩)たことに疲弊し、あてがわれた自室の洗面台でなかなか開かないパッキングされたアメニティを乱暴にぶちまけるシーン大好き　あの時の黒シャツスラックスというシンプルスタイルも November 11, 2025

海外旅行も扱える資格に派生したら外国の文化や歴史に興味を持つきっかけになるかもしれないし、派生しなくても大人になった時に仕事で役に立つし、旅行取扱管理者資格は個人的に手堅くアツい良い資格だと思う🔥 November 11, 2025

国内旅行取扱い管理者の資格取得はかなりアツいですね🔥 https://t.co/qNzDMxJBVp November 11, 2025

あのー誰か管理者イベントについて教えてください。ラッキーロットイベントのことですか？ 「？？？？？」と書いてありますが、なぜTOKYOイベントのように書かないのでしょうか💦それも管理者イベントの証的な感じですかね。 https://t.co/Msj8gdQ9Ns November 11, 2025

@naizzz__ ありがとう🥺✨
管理者イベ月曜日だね🥹 November 11, 2025

先日の
玉名での徘徊旗見せで
垣間見た

駅前広場管理者さんから
ベンチに花を飾った
やさしい方への手紙に

ほっこり
nice(*^^)v https://t.co/tWlv1RvTVx November 11, 2025

.@a_f_c_h
何も思わない。
むしろ管理者が勝手にやるマンションこそ自分の１戸建てで好きにやれだろう。 https://t.co/6m80AgIfHw

「豊洲のタワマンで管理組合の理事やった時に50万くらいのクリスマスツリーを買っ..」https://t.co/s4zZCv3qHh にコメントしました。 November 11, 2025

近々入職するｵｼﾞから電話入って、まず名乗りが「(苗字)ですけど」で始まり、私管理者じゃないのに「これは？じゃあこっちは？」って自分の聞きたいことだけ聞いてきて、何とか説明しても聞き流してる感じの返答で、挙句に「また近くなったら(管理者に)聞きますわ」って切られたのムカッときた November 11, 2025

@NobMiwa アサヒはVPNの高度な攻撃が…
って説明してたが、Qilinの特徴からすると、最大被害はスパムメールで
「リンク踏ませる」

管理者がパッチあて、セグメント分けて、従業員がリンク踏ませないように教育してた程度で防げてた。

こんなの最低限の常識レベルのはずなのにね。 November 11, 2025

あねまるファム(管理者:弟)の投稿動画を楽しみましょう！#TikTok https://t.co/S6is6lTYBa November 11, 2025

優里さんの【桜晴】を手話でやらせてもらいました！

あねまるファム(管理者:弟)の投稿動画を楽しみましょう！#TikTok https://t.co/ZlnF3eK7Ua November 11, 2025

彰人バナーお疲れ様でした✨🥞
時期未定ですがこはねバナーでボード初挑戦しようと思います❣️
つきましては、画像の通り支援者様を募集します。
それとは別でシフト管理を中心とした管理者様も募集します。(FFさんでおねがいしたいです)
お返しは前後問わず可。
#プロセカ協力
#プロセカ募集 https://t.co/rEBDT8npTR November 11, 2025

@shikamaro3142 ・へずま自身が鹿を虐待
・奈良公園管理者の指示を無視し外国人観光客に因縁つけて倭国語で怒鳴り散らす
・鹿愛護会から入会拒否
・「活動の結果ゴミ箱が設置された」と主張しているがウソ
・６回の逮捕歴
・「迷惑系の後善行でイメージ上げる」と自白
https://t.co/GwTHRVAqw1 https://t.co/BFoxnGbCmt November 11, 2025

我が忠勇なる業界の同志諸君よ！

広告宣伝ガイドラインは本年五月、再び改訂され、
我らの歩むべき秩序の道は、いま新たな段階へと進んだ！
各ホール団体が、不健全な広告宣伝を行った者に対し、
毅然として是正勧告を突き付けたその姿勢。
これは、業界自らの手によって健全化を成し遂げんとする、
崇高なる“意志”の証左である！

だが、諸君。
その裏に潜む現実を、我々は見逃してはならん。
是正勧告事例を見よ！
何度も、何度でも、同じ過ちを繰り返す者がいる。
ガイドラインの趣旨を理解しようともせず、
いや、理解したうえで潜脱を試みる卑劣な者すら存在するのだ！

あえて言おう！カスであると！！
このような者たちを放置すればどうなるか！

ガイドラインはさらに制約的となり、
自主規制という我々の誇りは失われ、
業界全体が、社会からの信頼を失墜させることとなる！

諸君！この未来を、容認できるのか！？
断じて否である！！
ゆえに私は諸君に命ずる！
店舗の管理者のみならず、
従業員に至るまで、
法令とガイドラインの精神を徹底せよ！

そして是正勧告に背く反逆の店舗があるのなら、断じて看過するな！
厳正に処断せよ！

これは、業界の未来を守る戦いである！
秩序を覆す愚者を排し、正義と信頼を取り戻す戦いである！
諸君の行動こそ、勝利への唯一の道なのだ！ November 11, 2025