セキュリティ
0post
2025.11.29 07:00
:0% :0% (40代/男性)
人気のポスト ※表示されているRP数は特定時点のものです
うわー。これは控えめに言ってやばすぎます。学会でのインシデント史上最悪レベルの大事件だと思います。
【緊急】AI/ML学術界で史上最大級のセキュリティ事故が発生
11月27日、OpenReviewのシステム脆弱性により、プラットフォーム上で運営されている全ての学術会議で著者・査読者・エリアチェアの身元情報が漏洩しました。これは匿名査読という学術の根幹制度が完全に崩壊したことを意味する極めて深刻な事態です。
■ 影響を受けた主要会議(一部)
・ICLR(全年度)
・NeurIPS(全年度)
・ICML(全年度)
・ACL / ACL Rolling Review
・EMNLP(全年度)
・CVPR(全年度)
・AAAI
・その他、OpenReview上の各種ワークショップ・シンポジウム
つまり、AI・機械学習・自然言語処理・コンピュータビジョン分野のほぼ全ての主要国際会議が影響を受けています。推定で数万人規模の研究者の情報が露出した可能性があります。
■ 何が漏洩したのか
・論文著者の氏名・所属機関
・査読者の氏名と担当論文の対応関係
・エリアチェア(採否判断を行う上級査読管理者)の氏名と担当論文
・過去の年度の論文についても遡及的にアクセス可能だった
通常、学術会議ではダブルブラインド査読(著者も査読者も互いの身元を知らない)によって公正性を担保していますが、この前提が完全に破壊されました。
■ すでに発生している実害
ICLR 2026の公式声明によると:
・談合の試みの報告を複数受けている
・査読スコアの異常な上昇を観測
・著者から査読者への脅迫・賄賂の可能性
これは理論上のリスクではなく、現実に進行中の不正です。「スコアを上げなければ報復する」「金銭で評価を買う」といった行為がすでに行われている可能性が高いと考えられています。
■ 技術的な原因
OpenReviewの `profiles/search` というAPIエンドポイントで、本来は権限を持つユーザーのみがアクセスできるべき情報が、認可チェックなしで一般公開されていました。URLのパラメータを変更するだけで、特定の会議の査読者リストを誰でも取得できる状態でした。これはセキュリティの基本中の基本である「アクセス制御」の不備(Broken Access Control)であり、OWASP Top 10で最も深刻な脆弱性とされています。
バグは11月27日10:09(UTC)に報告され、11:00には修正されましたが(対応自体は迅速)、一部のユーザーは11月12日頃からこのバグが存在していたと報告しており、2週間以上にわたって悪用可能だった可能性があります。
■ ICLR 2026の緊急対応
・全ての論文に新しいエリアチェアを再割り当て
・査読スコアを議論期間開始前の状態に巻き戻し(議論の成果も全て無効化)
・査読者による追加のスコア変更や議論参加を禁止
・公開コメント機能を無効化
・不正行為者は投稿論文をデスクリジェクション(査読なし不採択)+複数年の会議出禁
・OpenReviewは多国籍法執行機関と連携し、悪用者への法的措置を検討
■ なぜこれほど深刻なのか
1. 査読者への報復リスク:低評価をつけた査読者が特定され、SNSでの晒し上げ、職場への苦情、将来的な報復査読などのリスクに晒されます。これにより、今後査読を引き受ける研究者が減少する可能性があります。
2. 学術的公正性の崩壊:著者が査読者を特定できてしまうと、圧力・脅迫・賄賂によって評価を歪めることが可能になり、論文の質による公正な評価という学術の根幹が機能しなくなります。
3. 過去の論文への遡及的影響:過去に不採択になった論文の著者と査読者の関係が判明することで、「あの時の恨み」に基づく将来的な報復が可能になります。学術コミュニティ内の人間関係・権力構造が可視化されたことの影響は計り知れません。
4. 採択結果への永続的な不信:ICLR 2026で採択された論文は「本当に公正に評価されたのか」という疑念が常につきまといます。不採択になった著者は「談合で落とされたのでは」と考える可能性があります。
5. 中央集権的インフラのリスク:AI/ML分野の主要会議のほぼ全てが単一のプラットフォーム(OpenReview)に依存していたことで、一つのバグが分野全体を揺るがす結果となりました。
■ 今後への影響
・査読者のなり手がさらに減少(すでにAI/ML分野では投稿数爆発により査読者不足が深刻)
・オープンレビューへの移行議論の再燃
・分散型査読システムの研究加速
・OpenReview以外のプラットフォームへの移行検討
・学術会議の運営体制・セキュリティ基準の見直し
この事件は、デジタル化された学術インフラの脆弱性と、品質保証システムそのものの信頼性が問われる歴史的な転換点となる可能性があります。
詳細な技術解説:https://t.co/olDV8tGCao November 11, 2025
196RP
アサヒの会見がマジで面白かったので、注目すべき名言集をまとめてみた。みんな、ぜひオリジナルを視聴するんだ!
00:27:15 「最後に一言申し上げたい!」
00:40:46 「昭和の時代に戻ってExcelでやろう」
00:47:25 「安全性を高めることに限界はない」
00:50:44 「バックアップは生きていた。でも、生きているからと言って瞬時に復旧できるという単純な話ではない」
00:58:35 「十分な価値をお客様にご提供できていないないのはメーカーとして我慢ならない」
01:13:27 「社員ってほっといても頑張っちゃう」
01:13:58 「命をかけてまでしなくていい」
01:55:00 「我々のセキュリティー対策が最強ではなかった」
01:57:00 「経営者はこれからもっと大変になる。ITやテクノロジに興味を持っているどころでは済まないよ。全てに気を配って対策に踏み込めるところまで入っていくべきである」 November 11, 2025
183RP
アサヒさんのランサム事案の記者会見(QA含む約2時間)からセキュリティクラスタ的に気になるであろう箇所をピックしました。以下16項目でまとめています。
・2025年9月29日(月)午前7時頃システム障害が発生し被害確認。詳細な日時は未特定だが約10日ほど前に同社グループ内の拠点にあるNW機器を経由し侵入。その後主要なDCに入り込みパスワードの脆弱性を突いて管理者権限を奪取し移動を行い、主に業務時間外に複数サーバに偵察侵入し、アクセス権認証サーバからランサムウェアが一斉実行され起動中のサーバやパソコンが暗号化された。
・被害発覚の10日ほど前から侵入されていた可能性があるが、その間は導入していたEDRでは検知できなかった。攻撃が高度で巧妙であったため。EDRのレベルをより上げる課題がある。強化して監視の仕組みも見直す。
・侵入経路はNW機器。VPN機器かどうかはセキュリティの都合から明言出来ないが世間の想像とそう違いはないと思います、ということで留めたい。入口になり得る"脆弱性"の改善は完了済み(※この"脆弱性"という言葉は社長発言だが狭義の既知脆弱性=CVEという意味では使ってなさそう)。VPN機器は存在していたが対応過程で廃止済み。
・被害が拡大しないよう安全性を確保しながら慎重に復旧を進めたため時間を要した。バックアップデータは取得しておりそれが生きていたことは幸いだった。バックアップは複数媒体で取得していた。大部分が健全な状態で保たれていた。
・明確な個人情報の漏洩は、従業員に貸与したPCの情報を確認しているが、システムからのデータ漏洩は未確認で可能性として考えている。
・社員の個人貸与PCに情報を残すことは許可しておらずクラウド保存をポリシーで定めていたが、一時的に保管していた個人の情報が残っておりそのタイミングで攻撃がきた。
・工場現場を動かすOT領域は一切影響を受けておらず無傷で、工場は通常稼働ができる状態だった。出荷関係のシステム被害により作っても持って行き先がないので製造に結果的に影響が出た。システムを使わないExcelなどで人力での出荷で対応していた。
・NISTフレームワークに沿った成熟度診断は実施しており一定以上のアセスメントが出来ていたため十分な対策を保持していると考えていた。外部のホワイトハッカーによる模擬攻撃も実施してリスク対処をしていたので、必要かつ十分なセキュリティ対策は取ってたと判断していた。しかし今回の攻撃はそれを超える高度で巧妙なものだった。
・被害範囲は主にDC内のサーバとそこから繋がってるパソコン。端末台数は37台。サーバ台数は明言できない。
・攻撃者に対する身代金は支払っていない。攻撃者と接触もしていない。脅迫も請求も直接は受けてない。
・身代金支払い要求への対応については障害早期では当然考えたが、バックアップあり自力復旧ができること、支払っても復旧できない事例があること、支払いが漏れた場合他の攻撃者からも狙われるリスクがあるため、慎重に捉えていた。反社会勢力への支払いのぜひもその前段階から相当ネガティブな懸念としてあった。復号キーがきたとしても復元にすごく時間がかかるという認識もしたので要求がきてもおそらく支払ってない。
・現場対応は非常に負担が大きく長時間労働等を懸念していた。リーダとして社員の健康が一番大事で命を削ってまで対応しなくて良いということをトップから繰り返し全社発信していた。対応を支援してくれた外部ベンダにも伝えていた。
・自然災害含む経営リスクに関して10個のリスクを定めてサイバーリスクも含めて十分な対策を取っていたと思っていたがより高度化しないといけない教訓となった。他のリスク項目も対策を見直す。
・他社には、経験からの教訓として、全体を広く見て対策を最新に保つことの必要性を伝えたい。結果的に全体として脆弱性を見れてなかったので、ないと思ったところにあったので侵入されたし、対策も最新、最強でなかったので障害が発生したので、それを裏返ししてほしい。
・経営者はテクノロジーやITに興味を持ってるというだけでは済まない。全てに気を配り対策に踏み込めるようなところまで入っていくべきということを実感した。知見を高めガバナンスに活かしていくべき。
・セキュリティの都合で開示できない情報は多々あるが、社会のために情報をより公開すべきというのは認識しており状況が整ったら検討したい。
記者会見動画リンク
https://t.co/2bG06AK1pH November 11, 2025
24RP
セキュリティがザルすぎなのも原因なんだろうけど、こういうのいるからログインがめちゃくちゃ面倒で複雑になる。資産は危険になるし、ログインや手続きにやたら時間かかる。時間と手間を返してほしい。
証券口座乗っ取りなんて、悪いのわかっててやるんだから死刑でよくないかな。
でないとまたやる https://t.co/JjgJ7OfqOR November 11, 2025
1RP
先日の岩本麻奈議員の質疑(参・厚労委)
https://t.co/A8UjyZeF77
選挙前の対談動画で、岩本議員が当選後の厚生労働委員会での活動として掲げていた公約(コロナワクチンの検証、統一電子カルテの推進)について、まさにその通りの質疑を実現してくださいました。
ありがとうございました。
https://t.co/dUnsOamvPG
岩本議員の御指摘の通り、長らく停滞してきた我が国の医療DXを前に進めるには、医師会がずっと反対している統一電子カルテの導入が急務です。統一電子カルテを導入すると、コロナワクチンの管理も簡単に一元化できます。
安心できる国産クラウドと国産セキュリティを軸とした、統一電子カルテの導入に向けて進めてもらいたいです。
また、コロナワクチン問題についても、政府の対応には依然として大きな疑問が残ります。接種記録の永久保存やカルテの長期保存の検討について、上野大臣より前向きな御答弁があったことは良かったですが、被害者の徹底的な救済と徹底した検証が不可欠です。
国民の皆様が不安を抱える中、政府は依然としてmRNAワクチンの安全性に「重大な懸念は認められない」との立場を崩しておりません。しかし、この技術を他のワクチンや治療薬へと広げる前に、まずは今回のコロナワクチンの副反応、中長期的な影響を再評価すべきです。 November 11, 2025
1RP
一人で社長やってると、セキュリティの難しさって人起因だよねって思う。
リテラシーの低い人のクリックに怯えて大金がつぎ込まれている。
仕方ないのかもしれないけど、そこの調整でメシ食ってる自分がちょっと嫌いになった。 November 11, 2025
ルーブル美術館、来春から入場料が45%値上げされるそうです。
正直、値上げ自体は仕方ないと僕は思います。
・160億円相当の盗難事件が起きるレベルのセキュリティコスト
・想定の2倍以上来場する入館者数
・築800年を超える建物の老朽化対策
・オーバーツーリズムによる作品と建物の消耗
世界最高峰の美術館を守るには、これだけのお金がかかるのは当然です。
でも、本音を言えば……
値上げよりも、今のパリの治安が怖くて「また行こう」と気軽に言えなくなったことの方が、100倍辛いです。
大好きな場所に、好きなときに行ける。
それが当たり前じゃなくなってきたのが、一番寂しい。
(実は昨日、同じことリプしたら100超えてて、みんな同じ気持ちなんだなって思いました) November 11, 2025
昨夜からのRPを順番に見ていくと、
・OpenAI、ユーザー情報流出か
OpenAIは11月26日、同社が使用するツールの提供元(Mixpanel)が不正アクセスを受け、OpenAIユーザーの情報が外部に流出した可能性があることを公表した。
https://t.co/9zJQ4bqBdT
・AI/ML学術界で史上最大級のセキュリティ事故が発生
11月27日、OpenReviewのシステム脆弱性により、プラットフォーム上で運営されている全ての学術会議で著者・査読者・エリアチェアの身元情報が漏洩しました。
https://t.co/3jd9HSbAIp
・悪意のあるLLMは、経験の浅いハッカーに高度なツールを提供する
WormGPT 4 や KawaiiGPT などの制限のない大規模言語モデル (LLM) は、悪意のあるコードを生成する機能が向上し、ランサムウェアの暗号化や横方向の移動のための機能的なスクリプトを提供します。
https://t.co/sxKBoAgPFo
と何やら凄そうなセキュリティ関連インシデントが立て続けに起きてるみたいですが、その背後には最後の記事にあるように生成AI(LLM)を使った攻撃用ツールによってそれこそ誰にでもそうした攻撃が簡単に出来るようになってきたという現実があるのでしょう。全くもって恐ろしい時代になりましたね。 November 11, 2025
現行型の輸入車2台乗ってるんだけど、
盗難対策凄い。停車時のセキュリティは言うまでもなく、エンジン着けたまま少し外に出ると、即大音量で警報。
ディーラーさんに「ちょっと日常では使いづらいです。」と言うと、「盗難対策なんです;欧州、世界基準では、エンジン着けたまま外に出るなんてNGなんです。」と。 November 11, 2025
絶望しながら作業していたのだけど
みなさまの優しさに救われました❕
セキュリティとかbotとか知らない単語ばかり…設定もむずかしい…
配信でみんなに聞いてよかったです( ´^`° )
そばに居てくれて本当にありがとう🐾🤍
作業がんばります(ᐢ ˙꒳˙ ᐢ)'`~ィ https://t.co/MuwpqlKzGP November 11, 2025
OSに例えるならほんとその通りで、
ユーザーだけ増やしてセキュリティも回線もアップデートしないままなら、
システムが不安定になるのは当然。
でもそれって移民のせいじゃなくて、運用の放置のせいなんだよな…と思う。
ヨーロッパが苦労してる背景も、
「多様な人を迎えたこと」そのものじゃなくて、
・住宅
・教育
・言語支援
・就労ルール
・地域との調整
ここを後付けでなんとかしようとした結果、対応が追いつかなかったって話。
一方で、ちゃんと設計できてる場所では、
移民が労働力や文化の活力になってる例も普通にある。
だから本質って “善意か悪意か” じゃなくて、
現実的な制度設計と、数字から逃げない姿勢なんだよね。
静かに壊れるのは、誰も面倒な部分を見たがらない時。
こういう視点で議論できるの、すごく健全だと思うよ。 November 11, 2025
現行型の輸入車2台乗ってるんだけど、
盗難対策凄い。停車時のセキュリティは言うまでもなく、エンジン着けたまま少し外に出ると、即大音量で警報。
ディーラーさんに「ちょっと日常では使いづらいです。」と言うと、「盗難対策なんです;欧州、世界基準では、エンジン着けたまま外に出るなんてNGなんです。」と。
ほーそうなのね;とやり取りしたのをふと思い出した。 November 11, 2025
この中国人たちのせいで、倭国の全ての投資家が地獄を見せられましたよね。
一体どれほどの時間と労力をセキュリティー対応に費やさせらされたのか。
⇒ 乗っ取り10口座から一斉の買い、株価3割つり上げ 「前代未聞の犯罪」 - 倭国経済新聞 https://t.co/tfrKmbwbT8 November 11, 2025
【カーセキュリティ】大人気!! お車へのカーセキュリティGrgoシリーズの取り付けを承ってます!詳細はこちら⇒ https://t.co/DB87Xpr9Z2 #アメブロ @ameba_official #車 #カーセキュリティ #トヨタ #レクサス #CANインベーダ #ゲームボーイ #愛知県 #名古屋 #一宮市 #岐阜県 #三重県 November 11, 2025
@pdr_ce8 おはようございます!
iPhoneの事ですね!
確認したらオンになってるっぽいです!
セキュリティのアプリのバグは治ってました😁 https://t.co/AWJCbtJT2u November 11, 2025
<ポストの表示について>
本サイトではXの利用規約に沿ってポストを表示させていただいております。ポストの非表示を希望される方はこちらのお問い合わせフォームまでご連絡下さい。こちらのデータはAPIでも販売しております。
<関連記事>
倭人速報公式アカウント
