#cybersecurity

学習管理システム「Canvas」を運営するInstructureが、サイバー攻撃の対応をめぐって米議会から追及されている 攻撃したのは、データ漏えいで知られるShinyHuntersとされる Instructureは一度「解決した」と発表したが、その直後に再び攻撃を受け、利用者の不信感が強まった 米上院・下院の委員会は、身代金を支払ったのか、以前のSalesforce侵害と関係があるのかを質問している 教育機関向けサービスは、止まると学校運営に直撃するため、被害の大きさがかなり深刻 教育現場で広く使われる学習管理システム「Canvas」を提供するInstructureが、サイバー攻撃への対応をめぐって米議会から強い関心を向けられています。 背景にあるのは、ShinyHuntersと呼ばれるサイバー犯罪グループによる攻撃です。 Canvasは、授業資料の配布、課題提出、成績管理などをまとめて扱うシステムです。つまり、学校にとってはかなりの“心臓部”。ここが止まると、先生も学生も一気に困ります。 今回も実際、何千もの学校や大学で成績の確認や報告などができなくなったとされてい

FCC（米連邦通信委員会）は、外国製の家庭用・小規模オフィス向けルーターに対する制限を一部ゆるめた 既に米国で使われている対象機器について、ソフトウェア／firmware更新を2029年1月まで継続できるようにした もともとは2027年3月までだったので、かなりの延期 ただし、新しい機器の販売禁止は維持されており、規制がなくなったわけではない 背景には「更新を止めると、逆に古い機器が危険になる」という現実的な判断がある 米国のFCCが、外国製ルーターに対する規制を少し緩めました。 ただし、これは「禁止を撤回した」という話ではありません。むしろ、すでに使われているルーターをどう安全に維持するかという、かなり現実的な方向修正です。 元記事によると、FCCは2026年3月の決定で、外国メーカーの家庭用ルーターの米国での新規販売を原則禁止しました。 理由は国家安全保障です。記事では、敵対勢力や国家支援型の攻撃グループがルーターを攻撃の足がかりに使ってきた、とFCCが見ていると説明しています。 ここまでは「まあ、セキュリティのためなら厳しくするのもわかる」と思いがちです。

AIは、もはや一部の技術好きだけの話ではなく、外交・安全保障・雇用・選挙・日常生活にまで入り込んでいる ここ半年ほどで、AIは「便利そうな新技術」から無視できない社会問題へと変わった きっかけは主に2つ。AI agentの急拡大と、サイバー攻撃に使える高性能モデルの登場 企業はAIを理由に導入・増員・解雇を進め、政府は規制や監視を急ぎ始めている この記事の核心は、AIの未来が「いつか来るもの」ではなく、もう私たちに起きていることだという点 The Atlantic の Matteo Wong 記事「AI Has Broken Containment」は、かなり強い言い方をしています。 “containment” は「封じ込め」と訳せますが、要するにAIがこれまでの枠をはみ出して、社会のいろんな問題に同時接続されてしまった、という話です。 率直に言って、これは大げさな煽りではなく、かなり筋のいい見立てだと思います。 AIって、つい最近まで「なんとなく便利そう」「ちょっと怖い」「でも結局は補助ツールでしょ」という温度感でした。ところがこの記事

Googleは、AIを使ったハッキングがこの3カ月で急激に拡大したと報告 犯罪グループや、中国・北朝鮮・ロシアに関連する国家系の攻撃者が、Gemini、Claude、OpenAIのツールなどの商用AIを使っている可能性がある AIは、攻撃の速度・規模・精度を上げ、マルウェア作成や脆弱性の調査を助ける Anthropicは、強力すぎるとして新モデル「Mythos」の公開を見送った 一方で、AIの生産性向上効果については、公共部門の過大評価を疑う声もある Googleの脅威インテリジェンス・グループが出した報告によると、AIを使ったハッキングは、もはや実験段階ではなく“工業製品みたいな規模”の脅威になっているそうです。 ここでいう「工業規模」というのは、手作業でコツコツやるのではなく、大量生産・大量実行が前提の攻撃になってきた、という意味だと思えばわかりやすいです。 私がこの話でいちばんゾッとしたのは、AIが単なる“便利な補助輪”ではなく、攻撃者の作業台そのものになっている点です。 しかも、使われているのが怪しい裏ツールだけではなく、**Ge

Hugging FaceのAIモデルは、`tokenizer.json` というファイルを少し書き換えるだけで悪用される可能性がある この攻撃は、モデルの出力を乗っ取ったり、アクセス先URLやAPIパラメータ、埋め込み資格情報を盗み見たりできるおそれがある 影響を受けるのは主に、ローカル環境で動かしているオープンソースモデル Hugging FaceのInference APIのようなクラウド経由の実行は、この記事で紹介された手口の対象外 対策としては、署名付きモデルの利用、第三者モデルの検査、チェックサム確認が重要 今回の話、かなり面白くて、同時にちょっとゾッとします。 Dark Readingによると、Hugging FaceのAIモデルに含まれる `tokenizer.json` というファイルを、攻撃者がほんの少し改ざんするだけで、モデルの振る舞いを乗っ取れる可能性があるそうです。 Hugging Faceは、AIモデルや関連コンポーネントを配布する巨大なオープンソース基盤です。便利さの裏返しで、悪意あるモデルや改ざん済みファイルが紛れ込むリスクもあります。今回のポイントは、「

CTF（Capture The Flag）は、セキュリティ技術を競う定番イベント でも今は、frontier AI が中級〜上級の問題までかなり解けてしまう その結果、スコアボードが「人間の実力」ではなく「AIの使い方」を測る場になりつつある 著者は、オープンなオンラインCTFはもはや昔の意味を失った、とかなり強い言葉で主張している 初心者の学習場所としては、CTFより lab 環境（picoGym、HackTheBox など）のほうが健全だと述べている 一方で、CTF文化そのものの価値や人とのつながりまで否定しているわけではない CTFは Capture The Flag の略で、サイバーセキュリティの問題を解いて「flag」と呼ばれる答えを取る競技です。 たとえば、暗号、Web、pwn（メモリ破壊系の攻撃）、リバースエンジニアリング（プログラム解析）など、いろんな分野の問題が出ます。 ざっくり言うと、セキュリティ版の謎解き大会 です。 しかもただの遊びではなく、実力の証明としてもかなり重宝されてきました。 「この人、CTFで強いならセキュリティの素養があるよね」とい