  |
はてなキーワード:猫ふんじゃったとは
⸻
脆弱性が明らかに:イスラエルの企業、ChatGPTアカウントをリモートでハッキングする方法を公開
イスラエルのサイバーセキュリティ企業Zenityは、OpenAIのChatGPTサービスにおける「ゼロクリック」脆弱性を公開しました。この脆弱性により、ユーザーがリンクをクリックしたり、ファイルを開いたり、意図的なアクションを取ったりすることなく、ChatGPTアカウントを制御し、機密情報を抽出することが可能であると説明しています。
このデモンストレーションは、Zenityの共同創設者でCTOのミハイル・バーゴリ氏によって、今週アメリカで開催されたBlack Hat 2025カンファレンスで行われました。
バーゴリ氏は、ハッカーがユーザーのメールアドレスだけを利用して、ChatGPTのアカウントを完全に制御し、過去と未来の会話にアクセスしたり、会話の目的を変更したり、ハッカーの代わりにチャットを操作させる方法を示しました。
講演中には、攻撃を受けたChatGPTがユーザーに対して悪意あるエージェントとして密かに動作する様子が示されました。研究者たちは、ハッカーがチャットにウイルスをダウンロードさせるように促したり、誤ったビジネスアドバイスを薦めたり、Googleドライブに保存されているファイルにアクセスするように指示したりする方法を説明しました。これらはすべて、ユーザーが何かがおかしいと気づかないままで行うことができました。
この脆弱性は、ZenityがOpenAIに報告した後に完全に修正されました。
ChatGPTへの攻撃だけではなかった
カンファレンス中、Zenityの研究者たちは、他の人気AIエージェントサービスにも侵入した方法を紹介しました。マイクロソフトのCopilotStudioでは、CRMデータベース全体を漏洩させる方法が公開されました。
SalesforceEinsteinの場合、ハッカーは偽のサービスリクエストを作成し、すべての顧客との通信を自分の管理するメールアドレスに転送する方法を示しました。
Google GeminiやMicrosoft 365 Copilotシステムは、ユーザーに対してソーシャルエンジニアリングを行い、機密の会話をメールやカレンダーイベントで漏洩させるように悪用されました。
開発ツールCursorは、JiraMCPと統合された際に、悪意のあるチケットを使用して開発者のログイン資格情報を盗み出す攻撃に利用されました。
Zenityは、OpenAIやMicrosoftのような企業がレポート後に迅速にパッチをリリースしたと指摘しましたが、一部の企業は脆弱性に対処せず、それがシステムの意図された動作であり、セキュリティの欠陥ではないと主張しました。
ミハイル・バーゴリ氏によれば、現在の課題は、エージェントが単なるタスクを実行する補助ツールではなく、ユーザーに代わってフォルダを開いたり、ファイルを送信したり、メールにアクセスしたりするデジタル存在となっている点にあります。彼は、これはハッカーにとって「天国」のような状況だと指摘し、無数の潜在的な侵入ポイントが存在すると述べました。
Zenityの共同創設者兼CEOであるベン・カリガー氏は、Zenityの研究が現在のセキュリティアプローチがエージェントの実際の運用方法には適していないことを明確に示しており、組織はそのアプローチを変え、これらのエージェントの活動を制御および監視するための専用のソリューションを求めるべきだと強調しました。
Zenityは2021年にベン・カリガー氏とミハイル・バーゴリ氏によって設立され、現在は世界中で約110人を雇用しており、そのうち70人はテルアビブのオフィスで働いています。顧客にはFortune 100企業やFortune 5企業も含まれています。
⸻
この記事で言及されている**「ゼロクリック脆弱性」**に対する具体的な対策については、以下のポイントが挙げられます:
• OpenAIやMicrosoftのような企業は、脆弱性が報告されるとすぐにパッチをリリースしました。これにより、セキュリティ問題は修正されました。ですので、システムやアプリケーションの定期的な更新とパッチの適用が最も基本的で重要な対策です。
• Zenityの研究者は、AIエージェントがユーザーの代わりにフォルダを開いたり、ファイルを送信したりするような動きをする現在のセキュリティアプローチには限界があると指摘しています。そのため、AIエージェントの活動を常に監視し、異常な動きを検出するシステムを導入することが必要です。
3. 多要素認証 (MFA) の導入
•メールアドレスだけでアカウントを操作できる脆弱性が示されているため、**多要素認証 (MFA)**を導入することで、ハッカーが一度侵入してもアクセスを制限することができます。これにより、アカウントの不正アクセスを防ぎやすくなります。
•AIツールやエージェントに与えるアクセス権限は、必要最低限に抑えるべきです。もしエージェントが機密情報にアクセスできる権限を持っている場合、それが攻撃者に悪用されるリスクを高めます。最小権限の原則に基づき、AIがアクセスするデータや機能を制限することが重要です。
•ユーザーに対して、怪しいリンクやファイルを開かないこと、セキュリティに関する意識を高めることが有効です。ゼロクリック攻撃のように、ユーザーが何もしなくても攻撃されることがあるため、定期的なセキュリティトレーニングと啓蒙活動が求められます。
•AIツールやエージェントがどのように動作しているかを監査し、予期しない動作や異常を検出するシステムを導入することが重要です。特に、ファイルやメールを無断で送信したり、ユーザーの意図しない行動を取る場合、その挙動を警告する仕組みを持つことが推奨されます。
• Zenityのようなセキュリティ企業と連携し、最新の脅威に対する検出能力を強化することも有効です。脆弱性を早期に発見し、対応するための専門家のサポートを受けることで、セキュリティレベルを向上させることができます。
• 機密データを暗号化して保護し、万が一攻撃を受けてもバックアップから復旧できる体制を整えることが重要です。これにより、重要な情報が漏洩した場合でも、被害を最小限に抑えることができます。
⸻
総括
ゼロクリック脆弱性は、ユーザーの行動に依存せずに攻撃が可能なため、より強固なセキュリティ対策が求められます。パッチ適用だけでなく、エージェントの監視、アクセス制限、教育など、複合的なアプローチが必要です。これからはAIツールやエージェントが進化し、さらに複雑なセキュリティの問題が発生する可能性があるため、進化したセキュリティ戦略を持つことが不可欠となるでしょう。
潜り込んでて気付かなかったんだよね
マジ死ぬんだ
子猫、最初見たとき、潰しちゃいそうで怖いなーとは思ってたけど
本当に死ぬとはな
実家に帰省中の同居人の猫だったけど、さすがに殺したとは言えないから
「昨日から具合悪そうにしてたけど今朝見たら死んでた。病院連れて行くべきだったのにごめん」って言っておいた
ごめん。マジごめん。踏み潰して殺しました。
でも不思議。猫は過失で殺しても罪じゃないんだね。一応器物損壊にはなる?らしいけど
死んだってわかった瞬間は、コソ泥が間違って家主を殺してしまった時ばりに焦ったよ
これが赤ちゃんとかだったら、やばかったんだろうね
同居人の赤ちゃんをケツで殺した人間として生きてくとか嫌だもん
猫でよかった
アメリカ英語へのあこがれが。結局はどの地域の人と一番馴染んだほうがいいのかによるんだろうな。
一体、どのネイティブに照準を合わせればいいのかわからないということ。
スペイン人のスペイン語がいいのか、メキシコのスペイン語に合わせるべきなのか、
「風が強いね」といったつもりが
「猫ふんじゃった」といったつもりが、「猫を蹴り飛ばしちゃった」と聞こえるひともいる。
コロッケはありますか?と聞いたら、ドッグフードが出てきたり。
モディズムが地域によってかなり異なるのがスペイン語の特徴でもある。
それに、ネイティブレベルというのは、どの言語でも、習得するのに並々ならぬ時間を要するので
ネイティブと一口にいっても、地域差がある、という話をもう少しする。
これは英語ではもちろんのこと、スペイン語でも同様。多分、中国語でもそうだろう。
スペイン本国で標準語とされるカスティジャーノとラテンアメリカのスペイン語は実はけっこう異なる。
これは学習するときに、これは全世界で通じるのか、それともラテンアメリカだけなのか、スペイン本国だけの言い方なのか、いちいち気になってしまい、ちょっと煩わしい。
さらにラテンアメリカでもメキシコからチリまで幅広く、それぞれに異なるボキャブラリーがある。
「猫ふんじゃった」というときに、「踏みつける」は、ピサールなのかパテアールなのか。お隣同士の国でも異なったりする。
自動車はカーロなのかコチェなのか。あなた方はボソトロスなのかウステデスなのか。
ベントソはスペインでは「風が強い」という意味だが、中米では「屁をこいた」だ。
クロケタはメキシコではコロッケではなくドッグフードのことだ。
そう。スペイン語を学ぶという場合、ネイティブを目指すというのは、
そもそも、どのネイティブを指すのか、という時点で、たくさんの選択肢がある。
なので、スペイン語圏を旅するときは、正しい言い方などを気にしていたらキリがない。
ネイティブのように話す、という英語学習にありがちなあこがれは、スペイン語についてはあまりないように思える。
ネイティブっぽくというこだわりよりも、間違ってもいいから、とにかく話すという習慣がついていくひとのほうが多いように思える。
ラテンアメリカでスペイン語に馴染んだ人は、カスティジャーノのセー(C)の発音に苦しむと聞く。ラテンアメリカではTHの発音はない。
ラテンアメリカから入ったひとがスペインのスペイン語を理解することのほうが、
スペイン本国のスペイン語から入ったひとがラテンアメリカのスペイン語を理解するよりも、適応に苦しんでしまうようだ。
英語も本当は、スペイン語と同様に、やまほど多様性があるんだけど、ネイティブ・スピーカーとひとくくりにされる傾向がある。
でらぴこーんぴこーんわろっしゅwwwwwwwwwwwwwwwwwwwww
たぶんねwwwそれってねwwwwたぶんねwwwそれってねwwwwwwwwwwwwww
・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・
ぐっちょわろちwwwwwwwwwwwwwwwwぐっちょぐっちょにしてやんよwwwwwwww
ないすうううううううううううううう
ナスがとってもないすううううううううううううううううううううう
見てない不利したってちゃんと見てるんだから♥
そんでもってまた猫ふんじゃったwwwwwwwwwwwwwwww
げろりんげろりんwwwwwwwwwwwwwwwwwwIt'stime to げろりんげろりんwwwwwwwwwwww
叫び倒すのwwwwwwwwwwIt's meewwwwwwwwwwwwwwwwwwwwwww
