セキュリティ
0post
2025.11.29 16:00
:0% :0% (30代/男性)
人気のポスト ※表示されているRP数は特定時点のものです
うわー。これは控えめに言ってやばすぎます。学会でのインシデント史上最悪レベルの大事件だと思います。
【緊急】AI/ML学術界で史上最大級のセキュリティ事故が発生
11月27日、OpenReviewのシステム脆弱性により、プラットフォーム上で運営されている全ての学術会議で著者・査読者・エリアチェアの身元情報が漏洩しました。これは匿名査読という学術の根幹制度が完全に崩壊したことを意味する極めて深刻な事態です。
■ 影響を受けた主要会議(一部)
・ICLR(全年度)
・NeurIPS(全年度)
・ICML(全年度)
・ACL / ACL Rolling Review
・EMNLP(全年度)
・CVPR(全年度)
・AAAI
・その他、OpenReview上の各種ワークショップ・シンポジウム
つまり、AI・機械学習・自然言語処理・コンピュータビジョン分野のほぼ全ての主要国際会議が影響を受けています。推定で数万人規模の研究者の情報が露出した可能性があります。
■ 何が漏洩したのか
・論文著者の氏名・所属機関
・査読者の氏名と担当論文の対応関係
・エリアチェア(採否判断を行う上級査読管理者)の氏名と担当論文
・過去の年度の論文についても遡及的にアクセス可能だった
通常、学術会議ではダブルブラインド査読(著者も査読者も互いの身元を知らない)によって公正性を担保していますが、この前提が完全に破壊されました。
■ すでに発生している実害
ICLR 2026の公式声明によると:
・談合の試みの報告を複数受けている
・査読スコアの異常な上昇を観測
・著者から査読者への脅迫・賄賂の可能性
これは理論上のリスクではなく、現実に進行中の不正です。「スコアを上げなければ報復する」「金銭で評価を買う」といった行為がすでに行われている可能性が高いと考えられています。
■ 技術的な原因
OpenReviewの `profiles/search` というAPIエンドポイントで、本来は権限を持つユーザーのみがアクセスできるべき情報が、認可チェックなしで一般公開されていました。URLのパラメータを変更するだけで、特定の会議の査読者リストを誰でも取得できる状態でした。これはセキュリティの基本中の基本である「アクセス制御」の不備(Broken Access Control)であり、OWASP Top 10で最も深刻な脆弱性とされています。
バグは11月27日10:09(UTC)に報告され、11:00には修正されましたが(対応自体は迅速)、一部のユーザーは11月12日頃からこのバグが存在していたと報告しており、2週間以上にわたって悪用可能だった可能性があります。
■ ICLR 2026の緊急対応
・全ての論文に新しいエリアチェアを再割り当て
・査読スコアを議論期間開始前の状態に巻き戻し(議論の成果も全て無効化)
・査読者による追加のスコア変更や議論参加を禁止
・公開コメント機能を無効化
・不正行為者は投稿論文をデスクリジェクション(査読なし不採択)+複数年の会議出禁
・OpenReviewは多国籍法執行機関と連携し、悪用者への法的措置を検討
■ なぜこれほど深刻なのか
1. 査読者への報復リスク:低評価をつけた査読者が特定され、SNSでの晒し上げ、職場への苦情、将来的な報復査読などのリスクに晒されます。これにより、今後査読を引き受ける研究者が減少する可能性があります。
2. 学術的公正性の崩壊:著者が査読者を特定できてしまうと、圧力・脅迫・賄賂によって評価を歪めることが可能になり、論文の質による公正な評価という学術の根幹が機能しなくなります。
3. 過去の論文への遡及的影響:過去に不採択になった論文の著者と査読者の関係が判明することで、「あの時の恨み」に基づく将来的な報復が可能になります。学術コミュニティ内の人間関係・権力構造が可視化されたことの影響は計り知れません。
4. 採択結果への永続的な不信:ICLR 2026で採択された論文は「本当に公正に評価されたのか」という疑念が常につきまといます。不採択になった著者は「談合で落とされたのでは」と考える可能性があります。
5. 中央集権的インフラのリスク:AI/ML分野の主要会議のほぼ全てが単一のプラットフォーム(OpenReview)に依存していたことで、一つのバグが分野全体を揺るがす結果となりました。
■ 今後への影響
・査読者のなり手がさらに減少(すでにAI/ML分野では投稿数爆発により査読者不足が深刻)
・オープンレビューへの移行議論の再燃
・分散型査読システムの研究加速
・OpenReview以外のプラットフォームへの移行検討
・学術会議の運営体制・セキュリティ基準の見直し
この事件は、デジタル化された学術インフラの脆弱性と、品質保証システムそのものの信頼性が問われる歴史的な転換点となる可能性があります。
詳細な技術解説:https://t.co/olDV8tGCao November 11, 2025
101RP
アサヒの会見がマジで面白かったので、注目すべき名言集をまとめてみた。みんな、ぜひオリジナルを視聴するんだ!
00:27:15 「最後に一言申し上げたい!」
00:40:46 「昭和の時代に戻ってExcelでやろう」
00:47:25 「安全性を高めることに限界はない」
00:50:44 「バックアップは生きていた。でも、生きているからと言って瞬時に復旧できるという単純な話ではない」
00:58:35 「十分な価値をお客様にご提供できていないないのはメーカーとして我慢ならない」
01:13:27 「社員ってほっといても頑張っちゃう」
01:13:58 「命をかけてまでしなくていい」
01:55:00 「我々のセキュリティー対策が最強ではなかった」
01:57:00 「経営者はこれからもっと大変になる。ITやテクノロジに興味を持っているどころでは済まないよ。全てに気を配って対策に踏み込めるところまで入っていくべきである」 November 11, 2025
54RP
🌠最高のセキュリティで安心/安全!人気のカード型ウォレットTangemのご紹介‼🎁🌠
初心者でも簡単にスマホタップだけで使えるカード型ウォレットTangemの魅力をご紹介‼(✅内容詳細は動画📺にて❣)
🔥更にブラックフライデー&スペシャルリンクでここだけの超格安セールも?!🔥
https://t.co/Ba7CUGehxi
/
👑20000円分の(Pay or USDT)‼
\
🔻応募
1⃣ これをRT♻️
2⃣ 私と @tangem_japan をフォロー
⏰12/27〆
🔻確率超UP‼
3⃣ コメント📺(要リプ📷)
https://t.co/iwVFH9dGQh
4⃣ 購入スクショ(要リプ📷)
https://t.co/Ba7CUGehxi
🚀2つともやると更に確率が超絶UP‼🚀
🌈動画内容の概要紹介🌈 🌟約6分半で丸わかり‼🌟
1.Tangem💳のご紹介!
Tangem💳について分かりやすくご紹介‼
内容は動画📺でチェック‼
2.Tangem💳の魅力!
取引所としてどんな強みがあるのかを分かりやすくご紹介‼
内容は動画📺でチェック‼
3.Tangem💳の始め方!
超簡単3STEPで始める方法をご紹介‼
内容は動画📺でチェック‼
4.Tangem💳のよくある質問!
よくある質問を動画内で解説!
内容は動画📺でチェック‼
5.さいごに一言‼
本PJのサマリについてお伝えします‼
内容は動画📺でチェック‼
#Tangem #PR November 11, 2025
18RP
アサヒさんのランサム事案の記者会見(QA含む約2時間)からセキュリティクラスタ的に気になるであろう箇所をピックしました。以下16項目でまとめています。
・2025年9月29日(月)午前7時頃システム障害が発生し被害確認。詳細な日時は未特定だが約10日ほど前に同社グループ内の拠点にあるNW機器を経由し侵入。その後主要なDCに入り込みパスワードの脆弱性を突いて管理者権限を奪取し移動を行い、主に業務時間外に複数サーバに偵察侵入し、アクセス権認証サーバからランサムウェアが一斉実行され起動中のサーバやパソコンが暗号化された。
・被害発覚の10日ほど前から侵入されていた可能性があるが、その間は導入していたEDRでは検知できなかった。攻撃が高度で巧妙であったため。EDRのレベルをより上げる課題がある。強化して監視の仕組みも見直す。
・侵入経路はNW機器。VPN機器かどうかはセキュリティの都合から明言出来ないが世間の想像とそう違いはないと思います、ということで留めたい。入口になり得る"脆弱性"の改善は完了済み(※この"脆弱性"という言葉は社長発言だが狭義の既知脆弱性=CVEという意味では使ってなさそう)。VPN機器は存在していたが対応過程で廃止済み。
・被害が拡大しないよう安全性を確保しながら慎重に復旧を進めたため時間を要した。バックアップデータは取得しておりそれが生きていたことは幸いだった。バックアップは複数媒体で取得していた。大部分が健全な状態で保たれていた。
・明確な個人情報の漏洩は、従業員に貸与したPCの情報を確認しているが、システムからのデータ漏洩は未確認で可能性として考えている。
・社員の個人貸与PCに情報を残すことは許可しておらずクラウド保存をポリシーで定めていたが、一時的に保管していた個人の情報が残っておりそのタイミングで攻撃がきた。
・工場現場を動かすOT領域は一切影響を受けておらず無傷で、工場は通常稼働ができる状態だった。出荷関係のシステム被害により作っても持って行き先がないので製造に結果的に影響が出た。システムを使わないExcelなどで人力での出荷で対応していた。
・NISTフレームワークに沿った成熟度診断は実施しており一定以上のアセスメントが出来ていたため十分な対策を保持していると考えていた。外部のホワイトハッカーによる模擬攻撃も実施してリスク対処をしていたので、必要かつ十分なセキュリティ対策は取ってたと判断していた。しかし今回の攻撃はそれを超える高度で巧妙なものだった。
・被害範囲は主にDC内のサーバとそこから繋がってるパソコン。端末台数は37台。サーバ台数は明言できない。
・攻撃者に対する身代金は支払っていない。攻撃者と接触もしていない。脅迫も請求も直接は受けてない。
・身代金支払い要求への対応については障害早期では当然考えたが、バックアップあり自力復旧ができること、支払っても復旧できない事例があること、支払いが漏れた場合他の攻撃者からも狙われるリスクがあるため、慎重に捉えていた。反社会勢力への支払いのぜひもその前段階から相当ネガティブな懸念としてあった。復号キーがきたとしても復元にすごく時間がかかるという認識もしたので要求がきてもおそらく支払ってない。
・現場対応は非常に負担が大きく長時間労働等を懸念していた。リーダとして社員の健康が一番大事で命を削ってまで対応しなくて良いということをトップから繰り返し全社発信していた。対応を支援してくれた外部ベンダにも伝えていた。
・自然災害含む経営リスクに関して10個のリスクを定めてサイバーリスクも含めて十分な対策を取っていたと思っていたがより高度化しないといけない教訓となった。他のリスク項目も対策を見直す。
・他社には、経験からの教訓として、全体を広く見て対策を最新に保つことの必要性を伝えたい。結果的に全体として脆弱性を見れてなかったので、ないと思ったところにあったので侵入されたし、対策も最新、最強でなかったので障害が発生したので、それを裏返ししてほしい。
・経営者はテクノロジーやITに興味を持ってるというだけでは済まない。全てに気を配り対策に踏み込めるようなところまで入っていくべきということを実感した。知見を高めガバナンスに活かしていくべき。
・セキュリティの都合で開示できない情報は多々あるが、社会のために情報をより公開すべきというのは認識しており状況が整ったら検討したい。
記者会見動画リンク
https://t.co/2bG06AK1pH November 11, 2025
9RP
千葉工業大学の永見 拓人氏による「ITエンジニアとして知っておいてほしい、電子メールという大きな穴」です。電子メール送信時に使われる通信規格「SMTP」とセキュリティに関する周辺規格を知ることで、偽装メールを送信する容易さを体験し、偽装や改ざんを防ぐための取り組みを学びます。#seccamp https://t.co/spqXTlTSBi November 11, 2025
3RP
現場のことをちゃんと見てる人なんだなって伝わるね。セキュリティ対策はしっかりしておかなくちゃ...! https://t.co/pni30HeLoS
アサヒグループへのサイバー攻撃に関する会見で「最後に一言申し上げたい」から社長が現状を語りまくる様子→特に印象に残った発言たちへの..
https://t.co/8tDpOWadft. November 11, 2025
3RP
\OPEN&START!!/
『「コードギアス」シリーズ POP UP SHOP in TreeVillage』
📅横浜:2025年11月29日(土)〜2026年1月5日(月)
ルルーシュとスザクの「セキュリティーガード」姿の新規描き下ろしグッズに加え、『Genesic Re;CODE』グッズも登場✨
店内での撮影もぜひお楽しみください🎶
▽詳細はこちら(EC販売は12時より開始)
https://t.co/jBeKl1Nd2z
#geassp #ツリビレギアス November 11, 2025
2RP
「ツクヨミセキュリティ / 第10話」投稿しました! https://t.co/FeWjE3BX29 #narou #narouN8834LJ
社長はお金が好きなの? November 11, 2025
2RP
セキュリティ・キャンプ2025ミニ(石川開催)専門講座はこれにて終了いたしました。ご参加いただいた受講生・講師・チューター・関係者の皆さん、ありがとうございました!
感想等あればぜひ #seccamp タグでシェアしてください✨またお会いしましょう‼️ https://t.co/hIySOySgx4 November 11, 2025
1RP
@Mmegumi2025 外部SSD安い時に買いましょう。→今はUSBでもあります。通販サイトで2TBと書いてるのに、実は2GBとかあるのでご注意。これも実店舗推奨。内部は基本的にOS用、システム用と割り切った方が長く快適に使えます。ファイル保存は外部記憶領域とクラウドで十分。後はこの機会にセキュリティソフトも November 11, 2025
なにここ。大学っていうより大人の公園って感じで素敵すぎる。
ワン歩してるひとたくさんいるし。
女子大じゃないからセキュリティ厳しくないんか?
もう一度学生できるならこんなキャンパスがいいわ〜 https://t.co/b4YSxcUnIc November 11, 2025
アジア鯖で久しぶりにドンシュー民に会ったが、ブルゲのセキュリティ施設の場所、しかも視点移動して見てたら銃を持ったままだったので、私はドンシューとチームアップ!と言いながら先制で撃ち殺してしまったのでもう光のレイダーに戻れない November 11, 2025
@Rinatamu_ITDR まあそれは確かにありますね..
弊社の場合だとIT系の管理部署の人数が足りない、人材データの流し込みがうまくいってない、個別のセキュリティグループの管理とかは一切しない方針(会社の統廃合が多いので)なのでユーザー側からの不満は絶えないっぽいので可哀想だなと思ってます🥲 November 11, 2025
アニメイトの通販サイト、いちいち生年月日とSMS認証入るのだるすぎる....
カートに入れてから購入完了まで
15分ぐらいかかったけど....
セキュリティ万全なのか知らんけど、
いくらなんでもやりすぎや November 11, 2025
Windows
Cloudflare 1.1.1.1.WARPゼロトラストモード
Gateway With WARP VPN 接続し
Android
Cloudflare Agent One Zero Trust
サブドメインでサインインVPN 接続
Windows でCloudflare ダッシュボード一元管理
Android Gatewayポリシー対応
ゼロトラストで企業レベルのセキュリティー確立完了 November 11, 2025
<ポストの表示について>
本サイトではXの利用規約に沿ってポストを表示させていただいております。ポストの非表示を希望される方はこちらのお問い合わせフォームまでご連絡下さい。こちらのデータはAPIでも販売しております。
<関連記事>
倭人速報公式アカウント
