AI競争加熱、機密情報持ち出し裁判 2024/03/04-03/10
一週間を始めるにあたって、抑えておきたい先週気になったセキュリティニュースのまとめです。セキュリティニュースは毎日多数の情報が溢れかえっており「重要なニュース」を探すことが大変です。海外の報道を中心にCISO視点で重要なインシデント、法案や規制に関して「これを知っておけば、最低限、恥はかかない」をコンセプトに、コンパクトにまとめることを心がけています。
1.カリフォルニア在住の中国人がGoogleのAI機密情報を盗み出そうとした疑いで逮捕
AIに関連する新たなビジネスチャンスに世界中が熱狂していますが、AIをリードするGoogle社から、中国企業に情報を提供しようとした疑いでカリフォルニア在住の中国人が逮捕されました。
米司法省は、Googleの元ソフトウェアエンジニアである中国人のLinwei Ding氏を同社からAI関連の営業秘密を盗んだ罪で起訴しました。
起訴状によれば、Linwei Ding氏はGoogleのスーパーコンピューティングデータセンターに導入されるソフトウェア開発の役割を担っていたため、Googleのハードウェアインフラ、ソフトウェアプラットフォーム、およびそれらがサポートするAIモデルとアプリケーションに関連するGoogleの機密情報へのアクセス権限が与えられていたとされています。
Linwei Ding氏は2022年5月21日から内部不正を開始し、個人のGoogle Cloudアカウントへ機密情報をアップロードし、2023年5月2日まで定期的にアップロードを続け500以上のファイルを個人アカウントにアップロードしたとされています。
興味深いことに、Google社はDLPによる機密情報漏えい対策を行っていたとのことですが、Linwei Ding氏はダウンロードしたファイルをPDFファイルに変換し、Googleネットワークから別のアカウントとしてアップロードすることで、Googleの機密情報漏えい対策検出を回避したとされています。
今回Google社は元社員の情報持ち出しを検出することが出来ましたが、AIを巡る競争は、もはや民間企業レベルの争いではなく、国家間の競争となっているのでAIに関する重要な技術や特許を保有している企業においては、内部不正対策にもこれまで以上に目を向ける必要があるでしょう。
2.CISAとNSA、クラウドセキュリティのベストプラクティスを公開
米国のCISAと国家安全保障局 (NSA)は共同でクラウドセキュリティ軽減戦略Top10を公開しました。
以下、10個の項目についてベストプラクティスがまとめられています。
- クラウド責任共有モデルを支持する
- 安全なクラウド ID とアクセス管理の実践を使用する
- 安全なクラウド鍵管理慣行の使用
- クラウド環境でネットワークのセグメンテーションと暗号化を実現
- クラウド上のデータを安全に保護
- 継続的インテグレーション/継続的デリバリー環境の防衛
- コードとしてのインフラストラクチャを通じて安全な自動展開プラクティスを強制する
- ハイブリッド クラウドおよびマルチクラウド環境によってもたらされる複雑さを考慮する
- クラウド環境におけるマネージドサービスプロバイダーのリスクを軽減
- クラウドログを管理して効果的な脅威ハンティングを実現
この発表に伴いNSAサイバーセキュリティ担当ディレクターのロブ・ジョイス氏は「クラウドの活用によりITの効率と安全性が向上しますが、それは正しく実装された場合に限ります。」と述べ、また「クラウドサービスには重要なデータが集約されているため、攻撃者にとって魅力的な標的となっている」と警戒を呼びかけました。
3.NSA、ラテラルムーブメント緩和のためのガイダンスを公開
米国家安全保障局(NSA)は、サイバー攻撃者が機密データや重要システムにアクセスするために、標的組織のネットワーク内を横移動(ラテラルムーブメント)する動きを抑制することを目的としたサイバーセキュリティ情報シート(CSI)を発表しました。
このCSIは、「Advancing Zero Trust Maturity Through the Network and Environment Pillar(ネットワークと環境の柱を通じたゼロトラスト成熟度の促進)」と題され、ゼロトラストの原則を使用して、内部ネットワーク制御を強化する方法に関するガイダンスとなります。
★国内、海外における重要な注意喚起★
該当期間中に発表された、CISAのKEVとJPCERT/CCを掲載します。自社で該当する製品を利用されている場合は優先度を上げて対応することを推奨します。
- Microsoft Windows Kernel Exposed IOCTL with Insufficient Access Control Vulnerability
- Android Pixel Information Disclosure Vulnerability
- Sunhillo SureLine OS Command Injection Vulnerablity
- Apple Multiple Products Memory Corruption Vulnerability
- Apple Multiple Products Memory Corruption Vulnerability
- JetBrains TeamCity Authentication Bypass Vulnerability
・JPCERTコーディネーションセンター(JPCERT/CC)注意喚起
- 該当期間中の掲載はありませんでした。