おはようございます、かーでぃです。
日々のセキュリティニュースの中で、ちょっと気になったものを取り上げて紹介していきたいと思います。
日本政府と主要金融機関、OpenAI新モデルのアクセス権を取得 サイバー対策強化へ
片山さつき金融担当相は5月29日、米OpenAIが開発した新型AIのアクセス権を政府と主要金融機関が取得したと明らかにした。高性能AIがサイバー攻撃に悪用される懸念が高まる中、AIを防御に活用した対策が急務となっている。片山氏は「わが国金融機関のサイバーセキュリティー強化の観点から歓迎するべきものだ」と述べた。
この日、片山氏はオープンAIのジェイソン・クォン最高戦略責任者(CSO)らと面会し、システムの脆弱性(ぜいじゃくせい)の特定と修正を支援する新型AI「GPT5.5 Cyber」へのアクセス権付与が伝えられた。
laude Mythosは危険すぎると利用制限がかかっているますが、アメリカ国内数社にはテスト名目で利用が可能となっています。こちらは、Anthoropicが利用状況を確認の上、ということでしょうが、それでもアメリカ国内のみという状況です。
今回、日本政府がアクセス権を得たのが、OpenAIが開発した「GPT5.5-Cyber」。
サイバーセキュリティに特化したAIモデルで、Mythos同様に高度な調査能力を持つ物、とされています。
今後、より高度化されるサイバー攻撃に対しての防衛策として期待されるわけですが……こーいうのは、国内で開発しないとあかんと思うんですよねぇ…。
裏ではいろいろとやってるのでしょうが、表に出ない分、どーなってるのかわかんないですよね。
頑張ってほしいところです。
ランサムウェア被害が発生、受発注や出荷に影響 - 松沢書店
楽譜や音楽関連書籍の卸売りを手がける松沢書店は、サイバー攻撃を受けたことを明らかにした。受発注や出荷業務に影響が生じたが、発注システムについては順次復旧が進められている。
同社によれば、サイバー攻撃を受け、ランサムウェアによってサーバが侵害されたもの。外部協力のもと、原因の調査や被害範囲の確認、システム復旧、再発防止対応などを進めている。
全国の店舗在庫を検索できるサイト「楽譜ナビ」や、小売店向け受発注システム「注文くん」などのサービスが停止したほか、受発注や出荷業務に大きな影響が生じた。
松沢書店さん、HPによると売上28億、従業員数50名という会社規模。自分の前職の会社より少し小さいぐらいの会社ですが、しっかりとしてますね。
サイバーインシデントを報告してるし、外部に協力を仰いで原因調査などを依頼している。依頼している、ということはそれなりにログなども取得している、ということでしょうから、ある程度の対策もされていたのでしょう。
HP上も一報、二報としっかりと報告されているので、しっかりとした体制とかコンサルとか入られてるのかな、と想像します。
サイバーインシデントが起きると、実被害の対応も大変なのですが、こうした報告業務とかそっちも大変なんですよねぇ。。。
Googleの「AppSheet」を悪用した新手のフィッシング攻撃に注意 初回メールに不正リンクがない事例も
Kasperskyは2026年5月27日(現地時間)、Googleのアプリ作成サービス「AppSheet」を悪用したフィッシング攻撃が拡大していると公表した。攻撃者はGoogle関連の正規メールアドレスを利用し、利用者の個人情報やアカウント認証情報を盗み取っているという。
(中略)
確認された攻撃では最初に、大手企業名を表示したメールが送信される。メール冒頭では受信者名が記載される例もあり、漏えい済み情報を組み合わせて利用者ごとに送信先を選別している可能性がある。内容は、アカウント停止警告や不審アクセス通知など不安をあおるものの他、大手IT企業からの面接案内や認証バッジ付与通知など利益を示すものもある。利用者に即時対応を促し、リンクのクリックへ誘導する構成となっている。
メールは迷惑メール判定を回避する場合が多い。表示名には実在企業名が使われ、送信元には「noreply@appsheet.com」が利用される。このアドレス自体はGoogleの基盤に属する正規のものであり、一般的な迷惑メール対策を通過しやすいとKasperskyは指摘した。
利用者がリンクを開くと、偽サイトへ移動し、氏名や住所、電話番号などの入力を求められる。その後、偽ログイン画面で認証情報を入力させ、アカウントを奪取する流れとなる。
AppSheetは、あまり使えていませんが便利なノーコードツールなので、それを使ったフィッシングメールとか、ちょっと許せない感情🔥
Kasperskyは対策として、送信元アドレスと表示名の不一致の確認、URLの正規ドメインの確認、メール本文内の不自然な空白や文字置換の確認を推奨した。AppSheet経由のメールには注記が付く点にも注意が必要としている。パスワードマネージャの利用や2要素認証(2FA)の導入、パスキー活用も有効策として挙げた。パスキーは偽サイト上では機能しないため、フィッシング対策に有効としている。
リンク先のドメインは「appsheet.com」になるのかと思ったのですが、そこは偽URLっぽい書き方ですが、もしかしたら「appsheet.com」ドメインの可能性も疑って取り組んだ方が良さそうな気がします。
今回、GoogleのAppsheetでしたが、マイクロソフトにも同様にPower Appsがあるので、そちらも今後は要注意かもしれませんね。
セキュリティニュースの選定には、こちらのRSSを利用していますので、よかったらご利用ください。
https://script.google.com/macros/s/AKfycbzjvRpp8WisgfMKBpSH_Om97XMCO9grM-JpGPPZQoh0hzqMtqhHutmNifm1PlupILL_/exec
RSSの詳細については、こちらの記事をご覧ください。
2027年3月末から開始されるとされるSCS評価制度。面倒な仕事が増える……とお悩みの方、是非、こちらの本をご覧ください。