研究者と実務者が、新しいAIモデルがサイバーセキュリティにもたらす影響について議論を交わす中で、Mozillaは火曜日、AnthropicのMythos Previewの早期アクセスを利用してFirefox 150の新しいブラウザのリリースにおける271件の脆弱性を発見し、修正したと発表した。一方で研究者は、AIをあらゆる用途に使うことで、いまいち成果を出せていなかった北朝鮮のハッカーの一群が、たとえば“雰囲気(vibe)”でマルウェアを作ることや、偽の企業サイトの作成などまで行い、3か月で最大1200万ドルを盗んだと特定した。
研究者はついに、Stuxnetの前から存在する「Fast16」と呼ばれる、撹乱的なマルウェアを解明した。これはイランの核計画を狙うために使われた可能性がある。2005年に作られ、米国、または同盟国によって投入された可能性が高い。
非営利団体の全米消費者連盟(Consumer Federation of America)がMetaを提訴した。FacebookとInstagram上の詐欺広告をめぐり、同社がそれらに対抗する取り組みについて消費者を誤解させたとされる。令状なしでFBIが米国人の通信を閲覧できる米国の監視プログラムは更新期限を迎えているが、議員たちは次の一歩で行き詰まっている。議員の高まる懸念に対処するための新法案はあるものの、中身が乏しい。
さらに深掘りを探しているなら、プライバシーとセキュリティを重視したモバイルOSであるGrapheneOSの背後にある、年単位の確執についてWIREDが調査した。加えて、中国が米国のフィギュアスケーター、アリサ・リウとその父親をどう監視していたのかという、奇妙にねじれた物語についても取り上げた。
ほかにもあります。毎週、私たち自身が深掘りしなかったセキュリティとプライバシーのニュースをまとめてお届けします。見出しをクリックして、全文を読んでください。そして、どうか安全にお過ごしください。
Discordの“探偵”たちがAnthropicのMythos AIツールに不正アクセス
AnthropicのMythos PreviewのAIモデルは、ソフトウェアやネットワークのセキュリティ脆弱性を見つけるための危険なほど高性能なツールだとして宣伝されており、作成者はその公開を慎重に制限している。しかしDiscord上の素人の“探偵”の集団は、自分たちなりの比較的単純な手段で—AIハッキングは不要だった—望まれたデジタルな賞品であるMythosそのものに、不正アクセスすることに成功した。
AnthropicがMythos Previewを使える人を制御しようと努めていたにもかかわらず、Discordのユーザーの一団は、いくつかの比較的“探偵っぽい”やり方を通じてツールにアクセスできた。彼らは、開発者と連携するAIトレーニングのスタートアップであるMercorの最近の侵害のデータを調べ、さらに「Anthropicが他のモデルに使った形式についての知識に基づいて、モデルのオンライン上の所在地を推測した」—この文言は、多くの観測者が推測しているとおり、WebのURLを指すものだとする—と、今回の報道を行ったBloombergが伝えている。
またその人物は、Anthropicとの契約企業での仕事のおかげで、すでに保有していた権限を利用して他のAnthropicのモデルにもアクセスしたとも報じられている。しかし、その調査の結果として、Mythosだけでなく、未リリースのほかのAnthropicのAIモデルにもアクセスできたとされる。ありがたいことにBloombergによれば、Mythosにアクセスしたグループは、これまでのところそれを使って単純なウェブサイトを作ることにとどめており—Anthropicによる検出を避けるための判断だ—地球をハックしたわけではないという。
監視会社が古い通信事業者向けの脆弱性を悪用して盗み見を行っている
セキュリティ研究者は長らく、電話ネットワーク同士の接続方法や通話・テキストのルーティングを制御する通信プロトコル「シグナリングシステム7(SS7)」には悪用が可能で、こっそりと監視につなげられると警告してきました。今週、デジタル・ライツ団体のCitizen Labは、少なくとも2つの営利の監視ベンダーが、実際の被害者を標的にするために、これらの脆弱性、または次世代の通信プロトコルにおける類似の脆弱性を実際に利用していたことを明らかにしました。Citizen Labによれば、2つの監視企業は実質的に「ならず者の電話事業者」として振る舞い、3つの小規模な通信企業へのアクセスを悪用していました。その対象は、イスラエルの通信事業者019Mobile、英国の携帯通信事業者Tango Mobile、そして英チャネルのジャージー島を拠点とするAirtel Jerseyです。Citizen Labの研究者は、「著名な」人物が2つの監視企業によって追跡されていたと述べていますが、企業名や標的の名前は明らかにしませんでした。研究者たちはまた、見つかった2社がプロトコルを悪用しているのはおそらく2社だけではないこと、そして、世界規模の通信プロトコルの脆弱性が、世界中での電話の盗み見にとって非常に現実的な手段になっていることも警告しています。
2人の疑惑のサウジアジア詐欺複合施設の運営管理者に起訴
米国の法執行機関が、東南アジア全域に広がる犯罪産業である人身売買によって助長される詐欺複合施設に対して、遅ればせながらも取り締まりを強めている兆候として、司法省(DOJ)は今週、ミャンマーで詐欺複合施設の運営を手助けし、さらにカンボジアで2つ目の複合施設を開こうとしたとして、2人の中国人男性に対する起訴を発表しました。検察当局によれば、ジャン・ウェン・ジエとホアン・シンシャンはいずれも、今年初めにタイで入国管理上の容疑で逮捕され、その後、仮想通貨を使った詐欺的投資を装って数百万ドルをだまし取るなどして、彼らの施設に人身売買の被害者を集め、さらに米国人を含む詐欺の被害者に対して詐欺行為を強要した広大な詐欺作戦を運営したとされ、起訴されています。DOJはまた、この作戦に関連する7億ドル(700 millionドル)の資金を「拘束」(差し押さえに向けて実質的に凍結)し、さらに、検察が「被害者を誘い出し、奴隷化するために使用された」としているメッセージングアプリTelegram上のチャンネルも押収したと述べています。司法省の発表によれば、ホアンはある複合施設における労働者への身体的な処罰に本人が関与したとされ、またジャンはある時点で、米国の詐欺被害者1人から300万ドルの窃盗を取り仕切ったとされています。
アリババで販売用に掲載された英国内の健康記録50万件
3つの科学研究機関が、アリババ上で英国市民の健康情報を販売していることが判明しました。英国政府と非営利のUK Biobankが今週明らかにしました。過去20年にわたり、50万人超が、自身の健康データ(医療画像、遺伝情報、医療機関の記録など)をUK Biobankに共有してきました。同団体は、世界中の研究者が医療研究を行うために、その情報にアクセスできるようにしています。しかし慈善団体は、今回のデータ漏えいには「3つの組織が締結した契約の違反」が関わっていたと述べています。さらに、販売対象とされていたデータセットのうち1つには、50万人規模の研究対象者全員に関するデータが含まれていた可能性があるとされています。販売用として掲載されたデータの全種類については詳述しなかったものの、情報を売ったとされる人たちに関するBiobankの口座を停止したと述べています。データの広告も削除されています。
Apple、削除した通知データを保持してしまう不具合を修正
今月上旬、404 Mediaは、FBIが、容疑者のiPhoneからSignalのメッセージのコピーを入手できたと報じました。Signal内で暗号化されたメッセージ内容が、iOSのプッシュ通知データベースに保存されていたためです。このケースでは、Signalが端末から削除されていても、メッセージのコピーに引き続きアクセスできました。ただし、この問題はプッシュ通知を送信するすべてのアプリに影響していました。
今週、問題を受けてAppleは欠陥を修正するためのiOSおよびiPadOSのセキュリティアップデートをリリースしました。 「削除対象としてマークされた通知が、予期せずデバイス上に保持される可能性がありました」—iOS 26.4.2向けのAppleのセキュリティアップデートはこう述べています。 「ログ記録の問題は、データのマスキング(非表示)を改善して対処しました。」
問題は修正されたものの、デバイス上の通知に表示される内容を変更しておく価値は依然あります。Signalの場合は、アプリを開いて設定、通知へ進み、通知を切り替えて名前のみまたは名前または内容なしを表示するようにしてください。Signalのようなアプリがエンドツーエンドで暗号化されていても、それはデバイス間を移動する間のコンテンツにも適用される、という別の注意喚起です。つまり、誰かが物理的にあなたの電話にアクセスしてロック解除できる場合、その人があなたのデバイス上のすべてにアクセスできる可能性があります。
