アサヒさんのランサム事案の記者会見（QA含む約2時間）からセキュリティクラスタ的に気になるであろう箇所をピックしました。以下16項目でまとめています。

・2025年9月29日（月）午前7時頃システム障害が発生し被害確認。詳細な日時は未特定だが約10日ほど前に同社グループ内の拠点にあるNW機器を経由し侵入。その後主要なDCに入り込みパスワードの脆弱性を突いて管理者権限を奪取し移動を行い、主に業務時間外に複数サーバに偵察侵入し、アクセス権認証サーバからランサムウェアが一斉実行され起動中のサーバやパソコンが暗号化された。

・被害発覚の10日ほど前から侵入されていた可能性があるが、その間は導入していたEDRでは検知できなかった。攻撃が高度で巧妙であったため。EDRのレベルをより上げる課題がある。強化して監視の仕組みも見直す。

・侵入経路はNW機器。VPN機器かどうかはセキュリティの都合から明言出来ないが世間の想像とそう違いはないと思います、ということで留めたい。入口になり得る"脆弱性"の改善は完了済み（※この"脆弱性"という言葉は社長発言だが狭義の既知脆弱性＝CVEという意味では使ってなさそう）。VPN機器は存在していたが対応過程で廃止済み。

・被害が拡大しないよう安全性を確保しながら慎重に復旧を進めたため時間を要した。バックアップデータは取得しておりそれが生きていたことは幸いだった。バックアップは複数媒体で取得していた。大部分が健全な状態で保たれていた。

・明確な個人情報の漏洩は、従業員に貸与したPCの情報を確認しているが、システムからのデータ漏洩は未確認で可能性として考えている。

・社員の個人貸与PCに情報を残すことは許可しておらずクラウド保存をポリシーで定めていたが、一時的に保管していた個人の情報が残っておりそのタイミングで攻撃がきた。

・工場現場を動かすOT領域は一切影響を受けておらず無傷で、工場は通常稼働ができる状態だった。出荷関係のシステム被害により作っても持って行き先がないので製造に結果的に影響が出た。システムを使わないExcelなどで人力での出荷で対応していた。

・NISTフレームワークに沿った成熟度診断は実施しており一定以上のアセスメントが出来ていたため十分な対策を保持していると考えていた。外部のホワイトハッカーによる模擬攻撃も実施してリスク対処をしていたので、必要かつ十分なセキュリティ対策は取ってたと判断していた。しかし今回の攻撃はそれを超える高度で巧妙なものだった。

・被害範囲は主にDC内のサーバとそこから繋がってるパソコン。端末台数は37台。サーバ台数は明言できない。

・攻撃者に対する身代金は支払っていない。攻撃者と接触もしていない。脅迫も請求も直接は受けてない。

・身代金支払い要求への対応については障害早期では当然考えたが、バックアップあり自力復旧ができること、支払っても復旧できない事例があること、支払いが漏れた場合他の攻撃者からも狙われるリスクがあるため、慎重に捉えていた。反社会勢力への支払いのぜひもその前段階から相当ネガティブな懸念としてあった。復号キーがきたとしても復元にすごく時間がかかるという認識もしたので要求がきてもおそらく支払ってない。

・現場対応は非常に負担が大きく長時間労働等を懸念していた。リーダとして社員の健康が一番大事で命を削ってまで対応しなくて良いということをトップから繰り返し全社発信していた。対応を支援してくれた外部ベンダにも伝えていた。

・自然災害含む経営リスクに関して10個のリスクを定めてサイバーリスクも含めて十分な対策を取っていたと思っていたがより高度化しないといけない教訓となった。他のリスク項目も対策を見直す。

・他社には、経験からの教訓として、全体を広く見て対策を最新に保つことの必要性を伝えたい。結果的に全体として脆弱性を見れてなかったので、ないと思ったところにあったので侵入されたし、対策も最新、最強でなかったので障害が発生したので、それを裏返ししてほしい。

・経営者はテクノロジーやITに興味を持ってるというだけでは済まない。全てに気を配り対策に踏み込めるようなところまで入っていくべきということを実感した。知見を高めガバナンスに活かしていくべき。

・セキュリティの都合で開示できない情報は多々あるが、社会のために情報をより公開すべきというのは認識しており状況が整ったら検討したい。

記者会見動画リンク

https://t.co/2bG06AK1pH November 11, 2025

現在奈良地裁で審理が続いている山上徹也被告人の公判でも証拠提示や証言として取り上げられている「やや日刊カルト新聞」について。

私が論説や編集部門の最高責任者である主筆を務める「やや日刊カルト新聞」ですが、約半年前からサイト管理者によって設定が変更され管理画面にアクセスできなくなっています。新たな記事の掲載や過去に寄稿した記事の編集ができなくなっており、編集権の侵害状態が続いています。サイト管理者に問い合わせていますが、回答を得られていません。

言論の自由、報道の自由が担保される新聞社においてサイト管理者によって「編集面の最高責任者＝当該新聞社の全記者の代表」である主筆の言論の自由、報道の自由が侵害されている状態が続いています。事業運営の都合で編集面が干渉されることがないよう、サイト運営者とは切り離された独立した存在として「主筆」という役職があるのですが、編集面の全権をもって統括する「主筆」の編集権が侵害されている現在の「やや日刊カルト新聞」は編集権を持たないサイト管理者によって恣意的に運営されている状態です。

よって、現在「やや日刊カルト新聞」名義で告知されているトークイベント「やや日刊カルト新聞主催 カルト新年会2026」については、何の連絡も受けておりません。毎年1月4日に出演してきた阿佐ヶ谷ロフトでの「カルト新年会」については、出演料の取りまとめをしていた前述のサイト管理者によるギャラの未払い問題も起こっております。なお、当該未払い問題については交渉の上、解決済みです。
#やや日刊カルト新聞 #鈴木エイト #山上徹也 #カルト新年会 #主筆 #編集権 November 11, 2025

うわー。これは控えめに言ってやばすぎます。学会でのインシデント史上最悪レベルの大事件だと思います。
【緊急】AI/ML学術界で史上最大級のセキュリティ事故が発生

11月27日、OpenReviewのシステム脆弱性により、プラットフォーム上で運営されている全ての学術会議で著者・査読者・エリアチェアの身元情報が漏洩しました。これは匿名査読という学術の根幹制度が完全に崩壊したことを意味する極めて深刻な事態です。

■ 影響を受けた主要会議（一部）
・ICLR（全年度）
・NeurIPS（全年度）
・ICML（全年度）
・ACL / ACL Rolling Review
・EMNLP（全年度）
・CVPR（全年度）
・AAAI
・その他、OpenReview上の各種ワークショップ・シンポジウム

つまり、AI・機械学習・自然言語処理・コンピュータビジョン分野のほぼ全ての主要国際会議が影響を受けています。推定で数万人規模の研究者の情報が露出した可能性があります。

■ 何が漏洩したのか
・論文著者の氏名・所属機関
・査読者の氏名と担当論文の対応関係
・エリアチェア（採否判断を行う上級査読管理者）の氏名と担当論文
・過去の年度の論文についても遡及的にアクセス可能だった

通常、学術会議ではダブルブラインド査読（著者も査読者も互いの身元を知らない）によって公正性を担保していますが、この前提が完全に破壊されました。

■ すでに発生している実害
ICLR 2026の公式声明によると：
・談合の試みの報告を複数受けている
・査読スコアの異常な上昇を観測
・著者から査読者への脅迫・賄賂の可能性

これは理論上のリスクではなく、現実に進行中の不正です。「スコアを上げなければ報復する」「金銭で評価を買う」といった行為がすでに行われている可能性が高いと考えられています。

■ 技術的な原因
OpenReviewの `profiles/search` というAPIエンドポイントで、本来は権限を持つユーザーのみがアクセスできるべき情報が、認可チェックなしで一般公開されていました。URLのパラメータを変更するだけで、特定の会議の査読者リストを誰でも取得できる状態でした。これはセキュリティの基本中の基本である「アクセス制御」の不備（Broken Access Control）であり、OWASP Top 10で最も深刻な脆弱性とされています。

バグは11月27日10:09(UTC)に報告され、11:00には修正されましたが（対応自体は迅速）、一部のユーザーは11月12日頃からこのバグが存在していたと報告しており、2週間以上にわたって悪用可能だった可能性があります。

■ ICLR 2026の緊急対応
・全ての論文に新しいエリアチェアを再割り当て
・査読スコアを議論期間開始前の状態に巻き戻し（議論の成果も全て無効化）
・査読者による追加のスコア変更や議論参加を禁止
・公開コメント機能を無効化
・不正行為者は投稿論文をデスクリジェクション（査読なし不採択）＋複数年の会議出禁
・OpenReviewは多国籍法執行機関と連携し、悪用者への法的措置を検討

■ なぜこれほど深刻なのか
1. 査読者への報復リスク：低評価をつけた査読者が特定され、SNSでの晒し上げ、職場への苦情、将来的な報復査読などのリスクに晒されます。これにより、今後査読を引き受ける研究者が減少する可能性があります。

2. 学術的公正性の崩壊：著者が査読者を特定できてしまうと、圧力・脅迫・賄賂によって評価を歪めることが可能になり、論文の質による公正な評価という学術の根幹が機能しなくなります。

3. 過去の論文への遡及的影響：過去に不採択になった論文の著者と査読者の関係が判明することで、「あの時の恨み」に基づく将来的な報復が可能になります。学術コミュニティ内の人間関係・権力構造が可視化されたことの影響は計り知れません。

4. 採択結果への永続的な不信：ICLR 2026で採択された論文は「本当に公正に評価されたのか」という疑念が常につきまといます。不採択になった著者は「談合で落とされたのでは」と考える可能性があります。

5. 中央集権的インフラのリスク：AI/ML分野の主要会議のほぼ全てが単一のプラットフォーム（OpenReview）に依存していたことで、一つのバグが分野全体を揺るがす結果となりました。

■ 今後への影響
・査読者のなり手がさらに減少（すでにAI/ML分野では投稿数爆発により査読者不足が深刻）
・オープンレビューへの移行議論の再燃
・分散型査読システムの研究加速
・OpenReview以外のプラットフォームへの移行検討
・学術会議の運営体制・セキュリティ基準の見直し

この事件は、デジタル化された学術インフラの脆弱性と、品質保証システムそのものの信頼性が問われる歴史的な転換点となる可能性があります。

詳細な技術解説：https://t.co/olDV8tGCao November 11, 2025

仕方ないよね。部署違うのに管理者から「あの人どう？大丈夫そう？」って聞かれるんだもん。別の作業しながら観察するようになりますて。純粋に助かる人、また来て欲しい人には愛想良くしますって。 November 11, 2025

@shikamaro3142 ・へずま自身が鹿を虐待
・奈良公園管理者の指示を無視し外国人観光客に因縁つけて倭国語で怒鳴り散らす
・鹿愛護会から入会拒否
・「活動の結果ゴミ箱が設置された」と主張しているがウソ
・６回の逮捕歴
・「迷惑系の後善行でイメージ上げる」と自白
https://t.co/GwTHRVAqw1 https://t.co/BFoxnGbCmt November 11, 2025

@shikamaro3142 へずまりゅうの歴史
・へずま自身が鹿を虐待
・奈良公園管理者の指示を無視し外国人観光客に因縁つけて倭国語で怒鳴り散らす
・鹿愛護会から入会拒否
・「活動の結果ゴミ箱が設置された」と主張しているがウソ
・６回の逮捕歴
・「迷惑系の後善行でイメージ上げる」と自白
https://t.co/GwTHRVAqw1 https://t.co/BFoxnGbCmt November 11, 2025

ここまで結構雑な流れも多かったけど核心はしっかりしてそう
雑すぎてギャグレベルだったけどw

これ最終的な結末どうなるんだろう
トワサもアンドロイドとしてどこかで生きている
ユウグレ(イチキシマ)はその管理者かな
最後はアキラ(の記憶)とトワサ(の記憶)が再会してめでたしって感じだろうか November 11, 2025

$CFG

@centrifuge 能够帮助资产管理者将真实世界资产代币化并发行链上抵押资产池，让投资者参与并获取机构级别的 RWA 投资机会。 from @SurfAI

其叙事是 RWA 和美股上链，资源也很好，感兴趣的朋友可以去媒体平台搜一下。它的基本面和 Securitize、Ondo 处于同一个级别，甚至还更好一些。但其代币市值只有78M，处于极度被低估的区间。

CP171 这个提案（https://t.co/WNw23Y8SeF）讲的是「把整个协议的价值流（TVL、收入、合作伙伴、资产增长）全部“对齐”到 $CFG 这个唯一的价值捕获点上」。

在美股上链的叙事中， $CFG 绝对是一个可以参与的标的。简而言之，这个项目值得关注，只需等叙事的风来。时间节点可能是在代币迁移结束后。

补充一个研报：https://t.co/p4aGIdboZ4 November 11, 2025

たまに上位存在特有の怖いこと言い出すから管理者の人たちにスゲーーー怒られる November 11, 2025

冷蔵庫保管の保湿剤がテーブルに出たままなの見た時ね。はいはい、管理者は私ですもんね。 November 11, 2025

@kakimotogenki へずまりゅうについて
へずま自身が鹿を虐待
奈良公園管理者の指示を無視し外国人観光客に因縁つけて倭国語で怒鳴り散らす
鹿愛護会から入会拒否
「活動の結果ゴミ箱が設置された」と主張しているがウソ
６回の逮捕歴
「迷惑系の後善行でイメージ上げる」と自白
https://t.co/GwTHRVAqw1 https://t.co/BFoxnGbCmt November 11, 2025

@kakimotogenki へずまりゅうについて
・へずま自身が鹿を虐待
・奈良公園管理者の指示を無視し外国人観光客に因縁つけて倭国語で怒鳴り散らす
・鹿愛護会から入会拒否
・「活動の結果ゴミ箱が設置された」と主張しているがウソ
・６回の逮捕歴
・「迷惑系の後善行でイメージ上げる」と自白
https://t.co/GwTHRVAYlz https://t.co/BFoxnGcac1 November 11, 2025

それはとても怖い体験でしたね。ご無事で何よりです。ノーリードの犬が突然攻撃的になることは予測が難しく、特に暗い夜では危険が増します。もし可能なら、その公園の管理者や近隣の方にこの状況を報告し、再発防止のために注意喚起やルールの徹底をお願いすると良いでしょう。また、黒虎の安全を守るためにも、今後はリードをしっかり使うか、危険が想定される場所では注意深く行動されることをおすすめします。お怪我がないことを願っています。 November 11, 2025

🔥Overcome one's limits🔥

　　　　　　19位
　　　　230,251,112pt

本当に濃い9日間でした！！色々な脳バグを体験でき、鯖の運営やシフトの作り方、支援編成についてなど学ぶことが多いイベランとなりました！
支援者様、管理者様、ほんっっっっっとうにありがとうございました！！！！ https://t.co/jLMX8fLESu November 11, 2025

小2で不登校になった長男は学校に対する拒否感が強く勉強は全くできなかった。基礎勉強の代わりに小3から資格取得に専念した。他の勉強せず資格勉強に振り切って毎年資格を取得した。今までにMOS(Word、Excel、Access)、電気工事士2種、国内旅行取扱い管理者資格を取得した。基礎勉強は6年でやっと https://t.co/k440IKsTrc November 11, 2025

ウケる。ブログ管理者によりやや日刊カルト新聞というブログの主筆である鈴木エイト氏の編集権が奪われているとのこと。まあ代表の藤倉氏と無駄に喧嘩別れしたし、鈴木氏は売れっ子になった途端、世話になった媒体を2年ぐらい放置して久しぶりの投稿も自媒体への誘導記事という無礼さだったからね。 https://t.co/sKxP8MtYl6 November 11, 2025

木曜日のメディアデーで取材に応じたラッセルは、以前自分とハミルトンが現行F1マシンにおける激しいバウンシングを体験してもらおうと、サスペンションの動きを再現するポストリグにチーフデザイナーの一人を乗せようとしたが、安全管理者から断固として却下されたと明かす

「僕らにはシャシーの側からサスペンションの動きを再現し、1周をシミュレートする装置があって、ルイスと僕はバクーを再現しようとチーフデザイナーの一人をこのクルマに乗せようと思った。ポーポシングがどれほど激しいかを見せるためだったんだけど、安全管理者が危険すぎると言って。それで視野が少し広がったと思う。」

Read the full🔗:(https://t.co/YTKHO1jlaj) November 11, 2025

🎁タヌミーリベンジ週間
プレゼントキャンペーン🎁

🎁【プレゼント内容】
1名様に【れんげきウーラオスVMAX CSR】

✅【応募方法】
✅@torekabeastをフォロー
✅このポストををリポスト＆いいね
✅リプライ「タヌミー怖いぬ」で当選率🆙⤴️
✅当選後にご報告頂ける方が対象ぬ🌿
📅【締切】 12/04まで

木曜日。
今日の現場は、外観だけでは
何をするのか全く分からない“謎の倉庫”。
中に入った瞬間、たぬきは目を見開いた。

🦝「ぬぅぅぅ……これは……
最新ゲーム機“スウィッチZ”ぬ‼️」

ベルトコンベアには、
スウィッチZの箱がズラリと流れていく。
たぬきの担当は
“箱を閉じて次へ流すだけ”。

🦝「ぬん！これは楽ぬ‼️
もっと早くできるぬ‼️」

調子に乗ったたぬきは、
先回りして 大量の箱を抱え、
一気に流し込み開始。

🦝「これ面白いぬ❗️もっともっと
じゃんじゃん流すぬ❗️❗️」

しかし――
たぬきの後ろの担当者が、
驚くほどの 超絶無能 だった。

箱はどんどん詰まり、
コンベアはスウィッチZの箱でパンパン。
無理に流しすぎた結果
そのまま機械に挟まれて――
バキバキバキ‼️‼️
スウィッチZ多数、殉職。
安全装置発動で機械が止まる。

一同「……あーあ……」

その時、管理者が登場。
見た目、どう見ても完全にヤ◯ザ。

👊「あーあ……じゃねえよ！！！
これいくらすると思ってんだオラァ！！」

怒鳴られているのは
“たぬきの後ろの無能”。

🦝（た、たぬきのせいじゃ……
ないぬよね……？）

こうして三日目は、
スウィッチZ大量破壊倉庫の日 となった。

#ポケモンカード
#プレゼントキャンペーン November 11, 2025

@tfe5e6 幹部の制限というより、ワイのイメージでは「管理能力欠落者を管理職に就かせない」って感じなんすよね。上で言ってる適性ミスマッチを作業者で起こす場合より管理者で起こす場合の方が壊滅的ダメージを与えるのを何度も見てきたので。

点検項目をただ追加するとか掃除の過剰励行とかとか始めるし。 November 11, 2025