研究者や実務家が新しいAIモデルがサイバーセキュリティに与える影響について議論する中、**Mozilla**は火曜日、**AnthropicのMythos Preview**への早期アクセスを利用して、新しいFirefox 150ブラウザリリースにおける271件の脆弱性を発見・修正したと発表しました。一方、研究者たちは、マルウェアのコード作成から偽の企業ウェブサイトの作成まで、あらゆることにAIを使用している、中程度の成功を収めている北朝鮮のハッカー集団を特定しました。この集団は3ヶ月で最大1200万ドルを盗んでいます。 研究者たちは、**Stuxnet**以前に存在し、イランの核開発計画を標的とするために使用された可能性のある、破壊的なマルウェアである**Fast16**をようやく解明しました。これは2005年に作成され、米国またはその同盟国によって展開された可能性が高いです。 **Meta**は、**Facebook**と**Instagram**上の詐欺広告と、それらを撲滅するための同社の取り組みについて消費者を誤解させたとして、非営利団体である**Consumer Federation of America**から訴えられています。**FBI**が令状なしでアメリカ人の通信を閲覧できる米国政府の監視プログラムが更新時期を迎えていますが、議員たちは次のステップについて膠着状態にあります。新しい法案は、高まる議員の懸念に対処することを目指していますが、実質を欠いています。 さらに深く掘り下げたい場合は、*WIRED*が著名なプライバシーとセキュリティ意識の高いモバイルオペレーティングシステムである**GrapheneOS**の背後にある長年の確執を調査しました。また、中国が米国フィギュアスケート選手のアリサ・リューとその父親をどのようにスパイしたかという奇妙な物語も取り上げました。 さらに多くの情報があります。毎週、私たちが自身で深く掘り下げなかったセキュリティとプライバシーのニュースをまとめています。全文を読むにはヘッドラインをクリックしてください。そして、安全にお過ごしください。 **AnthropicのMythos Preview** AIモデルは、ソフトウェアやネットワークにおけるセキュリティ脆弱性を発見するための危険なほど有能なツールとして喧伝されており、その作成者はリリースを慎重に制限しています。しかし、**Discord**上のアマチュア探偵の一団は、それ自体への不正アクセスを獲得するための、比較的簡単な独自の手段を発見しました。AIハッキングは必要ありませんでした。それは、**Mythos**そのものでした。 **Anthropic**が**Mythos Preview**の使用者を管理しようと努力しているにもかかわらず、**Discord**ユーザーの一団は、いくつかの単純で比較的探偵的な調査を通じてツールへのアクセスを獲得しました。彼らは、AIトレーニングスタートアップで開発者と協力している**Mercor**の最近の侵害からのデータを調べ、「**Anthropic**が他のモデルに使用した形式に関する知識に基づいて、モデルのオンライン場所を推測しました」とブルームバーグが報じています。これは多くのオブザーバーがウェブURLを指していると推測しているフレーズです。 その人物はまた、**Anthropic**の契約企業で働いていたおかげで、すでに持っていた権限を利用して他の未発表の**Anthropic**モデルにアクセスしたと報告されています。その調査の結果、彼らは**Mythos**だけでなく、他の未発表の**Anthropic** AIモデルにもアクセスできたとされています。幸いなことに、ブルームバーグによると、**Mythos**にアクセスしたグループは、**Anthropic**による検出を防ぐために、惑星をハッキングするのではなく、単純なウェブサイトの構築にのみ使用しているとのことです。 ## 監視企業がスパイのために1年前の通信脆弱性を悪用 セキュリティ研究者は長年、電話ネットワークが相互に接続し、通話やテキストをルーティングする方法を管理する、Signaling System 7、または**SS7**として知られる通信プロトコルが悪用され、秘密裏の監視を可能にする可能性があると警告してきました。今週、デジタル権利団体**Citizen Lab**の研究者たちは、少なくとも2つの営利監視ベンダーが、実際にそれらの脆弱性、または次世代通信プロトコルにおける類似の脆弱性を悪用して、実際の被害者をスパイしていたことを明らかにしました。**Citizen Lab**は、2つの監視企業が実質的に不正な電話キャリアとして機能し、3つの小規模通信企業—イスラエルのキャリア**019Mobile**、英国の携帯電話プロバイダー**Tango Mobile**、そしてチャンネル諸島のジャージー島に拠点を置く**Airtel Jersey**—へのアクセスを悪用して、ターゲットの電話の位置を追跡していたことを発見しました。**Citizen Lab**の研究者たちは、「著名な」人物が2つの監視企業によって追跡されていたと述べていますが、企業名やターゲットの名前は明らかにしませんでした。研究者たちはまた、プロトコルを悪用していることが判明した2社だけではない可能性が高く、グローバル通信プロトコルの脆弱性は世界中の電話スパイの非常に現実的なベクトルであり続けていると警告しています。 ## 東南アジアの詐欺拠点の管理者とされる2名を起訴 米国法執行機関による、東南アジア全域に広がる人身売買に支えられた詐欺拠点の広大な犯罪産業に対する、遅ればせながらも高まる取り締まりの兆候として、**司法省（DOJ）**は今週、ミャンマーの詐欺拠点の管理を支援し、カンボジアで2番目の拠点を開設しようとしたとされる2人の中国人男性に対する起訴を発表しました。検察によると、Jiang Wen JieとHuang Xingshanは今年初めにタイで移民法違反で逮捕され、現在、偽の求人で人身売買の被害者を拠点に誘い込み、仮想通貨詐欺投資でアメリカ人を含む被害者から数百万ドルを詐取するよう強制した、広範な詐欺事業を運営していたとされる罪で起訴されています。**DOJ**はまた、この事業に属する7億ドルの資金を「差し押さえた」と述べており、これは差し押さえの準備のために資金を凍結することを意味します。さらに、被害者を誘い込み、奴隷化するために使用されたとされるメッセージングアプリ**Telegram**のチャンネルも押収しました。司法省の声明によると、Huangはかつてある拠点で労働者への身体的罰に個人的に関与し、Jiangはかつて単一の米国の詐欺被害者から300万ドルの盗難を監督したと主張しています。 ## 50万件の英国の健康記録がAlibabaで販売リストに 3つの科学研究機関が、英国市民の健康情報を**Alibaba**で販売していたことが、英国政府と非営利団体**UK Biobank**によって今週明らかにされました。過去20年間で、50万人以上が健康データ—医療画像、遺伝情報、医療記録を含む—を**UK Biobank**と共有しており、これは世界中の科学者が医療研究を行うためにその情報にアクセスすることを可能にしています。しかし、この慈善団体は、データ漏洩は3つの組織が署名した「契約違反」に関わるものであり、販売されているデータセットの1つには、50万人の研究対象者全員のデータが含まれていた可能性があると述べています。販売されていたデータの完全な種類は詳述されていませんが、情報を販売していたとされる組織の**Biobank**アカウントを一時停止したと述べています。データ広告も削除されました。