セキュリティ
0post
2025.11.30 00:00
:0% :0% (30代/男性)
人気のポスト ※表示されているRP数は特定時点のものです
うわー。これは控えめに言ってやばすぎます。学会でのインシデント史上最悪レベルの大事件だと思います。
【緊急】AI/ML学術界で史上最大級のセキュリティ事故が発生
11月27日、OpenReviewのシステム脆弱性により、プラットフォーム上で運営されている全ての学術会議で著者・査読者・エリアチェアの身元情報が漏洩しました。これは匿名査読という学術の根幹制度が完全に崩壊したことを意味する極めて深刻な事態です。
■ 影響を受けた主要会議(一部)
・ICLR(全年度)
・NeurIPS(全年度)
・ICML(全年度)
・ACL / ACL Rolling Review
・EMNLP(全年度)
・CVPR(全年度)
・AAAI
・その他、OpenReview上の各種ワークショップ・シンポジウム
つまり、AI・機械学習・自然言語処理・コンピュータビジョン分野のほぼ全ての主要国際会議が影響を受けています。推定で数万人規模の研究者の情報が露出した可能性があります。
■ 何が漏洩したのか
・論文著者の氏名・所属機関
・査読者の氏名と担当論文の対応関係
・エリアチェア(採否判断を行う上級査読管理者)の氏名と担当論文
・過去の年度の論文についても遡及的にアクセス可能だった
通常、学術会議ではダブルブラインド査読(著者も査読者も互いの身元を知らない)によって公正性を担保していますが、この前提が完全に破壊されました。
■ すでに発生している実害
ICLR 2026の公式声明によると:
・談合の試みの報告を複数受けている
・査読スコアの異常な上昇を観測
・著者から査読者への脅迫・賄賂の可能性
これは理論上のリスクではなく、現実に進行中の不正です。「スコアを上げなければ報復する」「金銭で評価を買う」といった行為がすでに行われている可能性が高いと考えられています。
■ 技術的な原因
OpenReviewの `profiles/search` というAPIエンドポイントで、本来は権限を持つユーザーのみがアクセスできるべき情報が、認可チェックなしで一般公開されていました。URLのパラメータを変更するだけで、特定の会議の査読者リストを誰でも取得できる状態でした。これはセキュリティの基本中の基本である「アクセス制御」の不備(Broken Access Control)であり、OWASP Top 10で最も深刻な脆弱性とされています。
バグは11月27日10:09(UTC)に報告され、11:00には修正されましたが(対応自体は迅速)、一部のユーザーは11月12日頃からこのバグが存在していたと報告しており、2週間以上にわたって悪用可能だった可能性があります。
■ ICLR 2026の緊急対応
・全ての論文に新しいエリアチェアを再割り当て
・査読スコアを議論期間開始前の状態に巻き戻し(議論の成果も全て無効化)
・査読者による追加のスコア変更や議論参加を禁止
・公開コメント機能を無効化
・不正行為者は投稿論文をデスクリジェクション(査読なし不採択)+複数年の会議出禁
・OpenReviewは多国籍法執行機関と連携し、悪用者への法的措置を検討
■ なぜこれほど深刻なのか
1. 査読者への報復リスク:低評価をつけた査読者が特定され、SNSでの晒し上げ、職場への苦情、将来的な報復査読などのリスクに晒されます。これにより、今後査読を引き受ける研究者が減少する可能性があります。
2. 学術的公正性の崩壊:著者が査読者を特定できてしまうと、圧力・脅迫・賄賂によって評価を歪めることが可能になり、論文の質による公正な評価という学術の根幹が機能しなくなります。
3. 過去の論文への遡及的影響:過去に不採択になった論文の著者と査読者の関係が判明することで、「あの時の恨み」に基づく将来的な報復が可能になります。学術コミュニティ内の人間関係・権力構造が可視化されたことの影響は計り知れません。
4. 採択結果への永続的な不信:ICLR 2026で採択された論文は「本当に公正に評価されたのか」という疑念が常につきまといます。不採択になった著者は「談合で落とされたのでは」と考える可能性があります。
5. 中央集権的インフラのリスク:AI/ML分野の主要会議のほぼ全てが単一のプラットフォーム(OpenReview)に依存していたことで、一つのバグが分野全体を揺るがす結果となりました。
■ 今後への影響
・査読者のなり手がさらに減少(すでにAI/ML分野では投稿数爆発により査読者不足が深刻)
・オープンレビューへの移行議論の再燃
・分散型査読システムの研究加速
・OpenReview以外のプラットフォームへの移行検討
・学術会議の運営体制・セキュリティ基準の見直し
この事件は、デジタル化された学術インフラの脆弱性と、品質保証システムそのものの信頼性が問われる歴史的な転換点となる可能性があります。
詳細な技術解説:https://t.co/olDV8tGCao November 11, 2025
56RP
アサヒの会見がマジで面白かったので、注目すべき名言集をまとめてみた。みんな、ぜひオリジナルを視聴するんだ!
00:27:15 「最後に一言申し上げたい!」
00:40:46 「昭和の時代に戻ってExcelでやろう」
00:47:25 「安全性を高めることに限界はない」
00:50:44 「バックアップは生きていた。でも、生きているからと言って瞬時に復旧できるという単純な話ではない」
00:58:35 「十分な価値をお客様にご提供できていないないのはメーカーとして我慢ならない」
01:13:27 「社員ってほっといても頑張っちゃう」
01:13:58 「命をかけてまでしなくていい」
01:55:00 「我々のセキュリティー対策が最強ではなかった」
01:57:00 「経営者はこれからもっと大変になる。ITやテクノロジに興味を持っているどころでは済まないよ。全てに気を配って対策に踏み込めるところまで入っていくべきである」 November 11, 2025
14RP
中国嫌いなのに「対中包囲網を過去最高にガッチガチに固めた岸田さん」をディスるのは「他国の情報工作に踊らされている」です。石破さんも含めて列挙すると「中国・台湾を視野に入れた関連政策」はこんな感じ。
これで反日とか親中とか、マジで意味わからん。
・経済安保(脱中国)
・防衛費増額
・敵基地攻撃保有
・米・英・豪・印・韓・比と軍事連携
・原発再稼働
・処理水放出
・憲法審査会定例化
・トマホーク購入
・武器輸出可能に
・日英伊で戦闘機共同開発
・防衛装備移転三原則運用指針改正
・円借款による対中包囲網形成
・超音速ミサイル迎撃開発
・自衛隊員の血液備蓄
・統合作戦司令部常設
・沖縄本島に地対艦ミサイル連隊
・セキュリティクリアランス
・天皇誕生日レセプションに台湾総統招待
・台湾の出自明記を可能に
ゼレンスキーの電撃訪問は「G7」に招いた、です。対露的に西側諸国の結束をはかるにあたって必要な人がゼレンスキー。
https://t.co/5goqmoJlb3 November 11, 2025
9RP
経済安保は「サプライチェーンが中国依存だったのを、他国経由で輸入するように強靭化を図ったもの」であり、このうちの機密情報の漏洩防止が「セキュリティクリアランス」です。当時の担当は高市さんで、小野田さんに引き継がれている。
これを否定するのは「中国に依存する状態を肯定」と「高市さんの功績を否定」にもなるけど、大丈夫?
あ、中国大好きさんとか情報漏洩対策させたくない反日さんなら不要かもね。 November 11, 2025
6RP
🌠最高のセキュリティで安心/安全!人気のカード型ウォレットTangemのご紹介‼🎁🌠
初心者でも簡単にスマホタップだけで使えるカード型ウォレットTangemの魅力をご紹介‼(✅内容詳細は動画📺にて❣)
🔥更にブラックフライデー&スペシャルリンクでここだけの超格安セールも?!🔥
https://t.co/Ba7CUGehxi
/
👑20000円分の(Pay or USDT)‼
\
🔻応募
1⃣ これをRT♻️
2⃣ 私と @tangem_japan をフォロー
⏰12/27〆
🔻確率超UP‼
3⃣ コメント📺(要リプ📷)
https://t.co/iwVFH9dGQh
4⃣ 購入スクショ(要リプ📷)
https://t.co/Ba7CUGehxi
🚀2つともやると更に確率が超絶UP‼🚀
🌈動画内容の概要紹介🌈 🌟約6分半で丸わかり‼🌟
1.Tangem💳のご紹介!
Tangem💳について分かりやすくご紹介‼
内容は動画📺でチェック‼
2.Tangem💳の魅力!
取引所としてどんな強みがあるのかを分かりやすくご紹介‼
内容は動画📺でチェック‼
3.Tangem💳の始め方!
超簡単3STEPで始める方法をご紹介‼
内容は動画📺でチェック‼
4.Tangem💳のよくある質問!
よくある質問を動画内で解説!
内容は動画📺でチェック‼
5.さいごに一言‼
本PJのサマリについてお伝えします‼
内容は動画📺でチェック‼
#Tangem #PR November 11, 2025
6RP
アサヒさんのランサム事案の記者会見(QA含む約2時間)からセキュリティクラスタ的に気になるであろう箇所をピックしました。以下16項目でまとめています。
・2025年9月29日(月)午前7時頃システム障害が発生し被害確認。詳細な日時は未特定だが約10日ほど前に同社グループ内の拠点にあるNW機器を経由し侵入。その後主要なDCに入り込みパスワードの脆弱性を突いて管理者権限を奪取し移動を行い、主に業務時間外に複数サーバに偵察侵入し、アクセス権認証サーバからランサムウェアが一斉実行され起動中のサーバやパソコンが暗号化された。
・被害発覚の10日ほど前から侵入されていた可能性があるが、その間は導入していたEDRでは検知できなかった。攻撃が高度で巧妙であったため。EDRのレベルをより上げる課題がある。強化して監視の仕組みも見直す。
・侵入経路はNW機器。VPN機器かどうかはセキュリティの都合から明言出来ないが世間の想像とそう違いはないと思います、ということで留めたい。入口になり得る"脆弱性"の改善は完了済み(※この"脆弱性"という言葉は社長発言だが狭義の既知脆弱性=CVEという意味では使ってなさそう)。VPN機器は存在していたが対応過程で廃止済み。
・被害が拡大しないよう安全性を確保しながら慎重に復旧を進めたため時間を要した。バックアップデータは取得しておりそれが生きていたことは幸いだった。バックアップは複数媒体で取得していた。大部分が健全な状態で保たれていた。
・明確な個人情報の漏洩は、従業員に貸与したPCの情報を確認しているが、システムからのデータ漏洩は未確認で可能性として考えている。
・社員の個人貸与PCに情報を残すことは許可しておらずクラウド保存をポリシーで定めていたが、一時的に保管していた個人の情報が残っておりそのタイミングで攻撃がきた。
・工場現場を動かすOT領域は一切影響を受けておらず無傷で、工場は通常稼働ができる状態だった。出荷関係のシステム被害により作っても持って行き先がないので製造に結果的に影響が出た。システムを使わないExcelなどで人力での出荷で対応していた。
・NISTフレームワークに沿った成熟度診断は実施しており一定以上のアセスメントが出来ていたため十分な対策を保持していると考えていた。外部のホワイトハッカーによる模擬攻撃も実施してリスク対処をしていたので、必要かつ十分なセキュリティ対策は取ってたと判断していた。しかし今回の攻撃はそれを超える高度で巧妙なものだった。
・被害範囲は主にDC内のサーバとそこから繋がってるパソコン。端末台数は37台。サーバ台数は明言できない。
・攻撃者に対する身代金は支払っていない。攻撃者と接触もしていない。脅迫も請求も直接は受けてない。
・身代金支払い要求への対応については障害早期では当然考えたが、バックアップあり自力復旧ができること、支払っても復旧できない事例があること、支払いが漏れた場合他の攻撃者からも狙われるリスクがあるため、慎重に捉えていた。反社会勢力への支払いのぜひもその前段階から相当ネガティブな懸念としてあった。復号キーがきたとしても復元にすごく時間がかかるという認識もしたので要求がきてもおそらく支払ってない。
・現場対応は非常に負担が大きく長時間労働等を懸念していた。リーダとして社員の健康が一番大事で命を削ってまで対応しなくて良いということをトップから繰り返し全社発信していた。対応を支援してくれた外部ベンダにも伝えていた。
・自然災害含む経営リスクに関して10個のリスクを定めてサイバーリスクも含めて十分な対策を取っていたと思っていたがより高度化しないといけない教訓となった。他のリスク項目も対策を見直す。
・他社には、経験からの教訓として、全体を広く見て対策を最新に保つことの必要性を伝えたい。結果的に全体として脆弱性を見れてなかったので、ないと思ったところにあったので侵入されたし、対策も最新、最強でなかったので障害が発生したので、それを裏返ししてほしい。
・経営者はテクノロジーやITに興味を持ってるというだけでは済まない。全てに気を配り対策に踏み込めるようなところまで入っていくべきということを実感した。知見を高めガバナンスに活かしていくべき。
・セキュリティの都合で開示できない情報は多々あるが、社会のために情報をより公開すべきというのは認識しており状況が整ったら検討したい。
記者会見動画リンク
https://t.co/2bG06AK1pH November 11, 2025
4RP
【悪意あるAIツール】無料で利用可能なジェイルブレイクAIツール「KawaiiGPT」がGitHub上で拡散している。WormGPTの亜種として、DeepSeek、Gemini、Kimi-K2などの商用AIモデルを悪用し、安全制限を回避して悪意あるコンテンツを生成する能力を持つ。
GitHub上で188以上のスターと52のフォークを獲得しており、APIキーは不要でLinuxやTermux環境に数分でインストール可能である。ユーザーはパッケージの更新、PythonとGitのインストール、リポジトリのクローン、簡単なインストールおよび起動スクリプトの実行だけで展開できる。KawaiiGPTの中核は、pollination agentsから派生したリバースエンジニアリングされたAPIラッパーを採用し、DeepSeek、Gemini、Kimi-K2などのモデルをホストするバックエンドサーバーにクエリをルーティングする。
セキュリティ研究者は、KawaiiGPTがフィッシングメール、ランサムウェアノート、Paramikoを使用した横方向移動スクリプト、データ流出ツールを生成するプロセスを強調している。遊び心のある挨拶を特徴とするカジュアルな「kawaii」ペルソナが、ソーシャルエンジニアリングや基本的な攻撃のための強力なアウトプットを隠し、初心者の脅威アクターの参入障壁を下げている。2025年7月に初めて確認され、現在バージョン2.5となっている。
コードベースの難読化が議論を引き起こしており、作成者は不正なリパッケージと転売を防ぐためと説明し、マルウェア、RAT、スパイウェアの存在を否定している。180-500人のメンバーを持つTelegramコミュニティがヒントを共有し、Palo Alto Networksがサイバー犯罪自動化の増加について警告を発する中、その進化を促進している。WormGPT 4が月額約50ドルの有料サブスクリプションでカスタム/微調整モデルを提供するのに対し、KawaiiGPTは無料のオープンソースとしてプロンプトインジェクションでガードレールを回避する。倫理的ペネトレーションテストのためと位置付けられているが、GitHubでの利用可能性が二重用途AIの時代におけるリスクを増幅させている。
https://t.co/VRKsYMVEdZ November 11, 2025
1RP
ゲームベースでAWSを学べる「AWS Cloud Quest」が有益。
クラウド初心者向けに設計されており、仮想都市で課題を解決しながら、コンピューティング、ストレージ、データベース、セキュリティといったコアサービスの実践的なAWS経験を得られる。
こちら👉
https://t.co/3RDm4mwBWZ https://t.co/HW7KC72MP8 November 11, 2025
1RP
ドイツのクリスマスマーケットに「対戦車」バリアが設置。「創造的な」解決策に市民が喝采
https://t.co/320hu5Z39s
ドイツのキュルスハイム市は、ドイツのクリスマスマーケットをテロから守るための高騰する費用を、非常にお祭り的な解決策である対戦車バリアで対処している。
このニュースを報じるドイツの公共メディアは、状況がいかに不条理になっているかについては微動だにせず、むしろ対戦車障壁という「創造的な解決策」を称賛している。
懐疑的な人々にとって、この対戦車障壁は、ドイツのクリスマスマーケットが単なる警察国家の域を超え、軍事境界線に近いものへと変貌を遂げつつあることを示す、滑稽でもあり悲劇的な例証となるかもしれない。
人口約5,000人、ドイツ南部バーデン・ヴュルテンベルク州のキュルスハイム市のクリスマスマーケットは、対戦車障壁をリサイクルすることでクリスマスマーケットの費用を節約していると発表した。
マイン=タウバー地区にあるターゲシャウは、「直径1.4メートルの使われなくなったコンクリート製の対戦車障壁4つがクリスマスマーケットのために改造された」と述べている。
障壁は白と赤の塗料で塗装されており、塗料と作業時間を考慮すると対戦車障壁1枚あたり1,000ユーロのコストで生産されました。
市は、対戦車障壁をクリスマスマーケットに再利用することで3万ユーロを節約できたと述べている。
特に、ドイツ全土の都市がクリスマスマーケットのためのボラードや可動式バリケードなどの安全対策に数百万ドルを費やしており、それがクリスマスマーケットのコストがますます高騰している理由です。
キュルスハイム市の市長シモーネ・ヒクル・ザイツ氏によれば、防護用ボラードの価格はかつてはたったの800ユーロだったが、現在ではメーカーは10倍の値段をつけているという。
「すべての都市がこれを必要としていることは彼らも分かっている。しかし、財源は空っぽだ」とヒクル=ザイツ氏は語った。
4基の対戦車障壁は旧ドイツ連邦軍兵舎から調達されたもので、それぞれ数トンの重さがある。
以前の目的は、おそらくドイツ領土への戦車の侵入を阻止することだった。
ドイツの国営メディアSWRも、キュルスハイムの措置を「費用対効果の高い」「創造的な」解決策として取り上げた。
昨年、サウジアラビア国籍のタレブ・アル=アブドゥルモフセン容疑者は、マクデブルクのクリスマスマーケットに猛スピードで車を突っ込み、6人を死亡させ、数百人を負傷させたとされています。
長年にわたる詐欺、虐待、そしてドイツ人殺害の脅迫にもかかわらず医師となったこの元医師は、現在、自身の罪で裁判を受けています。
しかし、彼の行動、そして他のクリスマスマーケット襲撃事件は、治安上の懸念が国中に広がる危機を引き起こしています。
マクデブルクでは、主催者に厳格かつ高額なセキュリティ対策が求められたため、市場全体が中止されるのではないかと懸念されていた。
これに対し、ドイツのための選択肢(AfD)のザクセン=アンハルト州議会議員団長ウルリッヒ・ジークムント氏が市場を訪れ、これまで大量移民を回避できているポーランドやチェコ共和国などの国ではこうした問題は起きていないと嘆いた。
「1年前、ここで恐ろしい襲撃事件がありました。まさに今、私が立っているこの場所で。もちろん、こうした経験から学び、より良い行動を取らなければなりません。しかし、問題は、クリスマスマーケットをどう守るかではなく、なぜ守らなければならないのか、ということです」と彼は問いかけた。
「チェコ共和国、ポーランド、そして国境を開放しておらず、自国の安全をここで何のためにも売り渡していない他の国々に行ってみてください。そうではありません。CDUの州および連邦レベルの政策が、まさに私たちをこの状況に追い込んだのです。私たちは少しずつ自由を失いつつあります。私たちは自分たちの生き方を手放しているのです。そして、何のために?それが問題なのです」
左派は、ドイツ人が「古い」国を取り戻したいと言っていることを嘲笑するだろうが、夏のプール、冬のクリスマスマーケット、さらには対戦車バリアーでさえ警察国家となっている現実は、多くのドイツ人に以前の時代を懐かしがらせている。
ジークムントは市場の古い写真を指差しながら言った。
「これを見て。ここで見つけたんだ。かつては完璧な世界だった。まさに私が知っていた通りだ。まさにそんな世界を取り戻したいんだ…私たちの古き良き国を取り戻したい。ここにいる皆さん一人ひとりが、こんなクリスマスマーケットを平和に歩き、人生を楽しんでほしい。私たちはこんな目に遭うべきではない。私たちの国はこんな目に遭うべきではない。私たちの子供たちもこんな目に遭うべきではない。」
マクデブルクのクリスマスマーケットはその後開場すると発表したものの、警備費用は依然として高額で、新たな致命的なテロ攻撃が起こるのではないかという懸念は残っている。
先週、ドイツ連邦都市・都市マーケティング協会(BCSD)のゲロルド・レッパ会長は、主催者の費用が爆発的に増加しており、過去3年間で44%もの驚異的な増加を記録したと述べた。
もちろん、警備費用だけでなく、人件費や音楽ライセンス料も増加しているが、RemixNewsが昨日報じたように、各都市は適切な警備を確保するために数百万ドルもの費用を投じている。
オーヴェラートなど、警備費用を理由に中止になったクリスマスマーケットはほんの一握りであることは事実だが、大量移民の影響ですでに大きな債務危機に直面しているドイツの各都市が、自らのクリスマスマーケットで極めて高額な警備対策を負担しなければならないことは否定できない。 November 11, 2025
今月66冊目、今年通算686冊目も26日に読み終わったのp■qω・´)
#オーバーラップノベルス
#おっさんセキュリティコンサルタントは異世界をも防衛する https://t.co/tYOT6B6BV7 November 11, 2025
中国でのコンサートやイベントで歌唱が中断されるというのは、ファンにとっては非常に残念で、大きな混乱を招く事態ですね。事務所が謝罪したということは、何らかのトラブルや予期せぬ事態、あるいは運営側の手違いがあったのでしょう。アーティスト側の体調や技術的な問題なのか、それとも現地の規制やセキュリティの問題なのか、原因の詳細が気になります。楽しみにしていたファンの方々の気持ちを考え、今後は再発防止策を徹底してほしいです November 11, 2025
スマホには私のすべてが詰まってるんだけど、これを安物タブレットにどこまで共有すべきか、悩む。
エロ漫画の趣味がふとしたところからバレないか…タブレットよ。お前のセキュリティは万全か? November 11, 2025
まだ新人のローズちゃん(23)
在籍:ヤングプレイス店
元々タイのセキュリティ会社に勤めており夜職は初♥
セクシーな見た目によらずうぶな性格してます。
趣味はビンテージのバイクに乗ること★ https://t.co/8mwsrGSfBZ November 11, 2025
AIのおかげで若い人が(情報系以外の分野の学生が専攻を活かした)アプリ作って,さらに事業おこしていくのはめちゃくちゃいい流れだと思うんだけど,コードや設定の判定が出来てない場合はセキュリティ的にもやばいんじゃないのか?と思ったりしている November 11, 2025
<ポストの表示について>
本サイトではXの利用規約に沿ってポストを表示させていただいております。ポストの非表示を希望される方はこちらのお問い合わせフォームまでご連絡下さい。こちらのデータはAPIでも販売しております。
<関連記事>
倭人速報公式アカウント
