1.相次ぎ発覚したクラウド不正侵入、悪用された「アクセスキー」の意外な流出元(7.18 日経XTEC)
2024年に入ってから、クラウドサービスを利用する企業の不正アクセス被害の発表が相次いでいる。その中で、要因として「アクセスキーの悪用」を挙げる事例が目立つ。
トヨタモビリティサービスは2024年2月16日、同社が提供する社用車管理のクラウドサービス「Booking Car」が不正アクセスを受け、データを削除され利用者の個人情報が流出した可能性があると発表した。同サービスで利用する米Amazon Web Services(アマゾン・ウェブ・サービス)のクラウドサービス「Amazon Web Services(AWS)」にアクセスキーを使って侵入されたと見られる。アクセスキーはクラウドサービスの認証情報だ。
アクセスキーを悪用した不正アクセス被害が明らかになると、X(旧Twitter)などのSNSには「アクセスキーを安易に使うと被害に遭う」「アクセスキーの使用はシステムの穴になる」といった批判的な意見がたびたび書き込まれる。アクセスキーはどんな認証情報なのか、どこから流出するのか、不正アクセスに遭わないためにどんな対策があるのかを見ていく。
アクセスキーは、クラウドサービスのリソースにアクセスが可能になる認証情報である。AWSの場合、利用者である「IAM(Identity and AccessManagement)ユーザー」はユーザー名とパスワードによる認証を受けてログインし、ユーザーごともしくはグループ単位でのアクセス権限が付与される。一方、アクセスキーでは「アクセスキーID」と「シークレットアクセスキー」と呼ばれる、ユーザー名とパスワードと同じテキスト情報によって認証を受ける。権限はアクセスキーごとに付与される。
アクセスキーが便利なのは、アクセスキーIDとシークレットアクセスキーを知っていれば、ユーザー名とパスワードを知らなくてもAWSを操作できるようになることだ。プログラムにアクセスキーを埋め込めば、そのプログラムはAWSのリソースにアクセスできるようになる。
2.OpenAIが「GPT-4o mini」発表、激しくなる「安くて速い」AIモデルの開発競争(7.19 日経XTEC)
米OpenAI(オープンAI)は米国時間2024年7月18日、最新のAI(人工知能)モデル「GPT-4o mini」を発表した。従来のモデルに比べて小型で利用料が安いのが特徴だ。パラメーター数などを抑えた「安くて速い」AIモデルが技術開発のトレンドとなっており、オープンAIもこの流れに追随した形だ。
同日からChatGPTの無料版と月額20ドル(約3100円)のPlus版、複数人で契約するTeam版のユーザーが利用可能になった。企業向けにセキュリティーなどを強化したEnterprise版では来週から利用できるようになる。
コンテキストウインドーは12万8000トークンだ。GPT-4oと同様、英語や日本語を含む多言語に対応する。オープンAIによれば、言語理解の基準であるMMLU(Massive Multitask Language Understanding)など複数のベンチマークで、米Google(グーグル)の「Gemini 1.5 Flash」などを上回った。
3.東京ガス子会社への不正アクセスは「VPN装置経由」、個人情報約416万人分漏洩か(7.18 日経XTEC)
東京ガスの子会社が不正アクセスを受けて個人情報約416万人分が漏洩した可能性がある問題を巡り、侵入経路はVPN(仮想私設網)装置経由であったことが日経クロステックの取材で2024年7月18日までに分かった。現在は外部との接続を遮断するなど対策を講じた上で、被害範囲や原因などについて調査を進めている。2024年7月18日午前10時時点で情報の不正利用は確認されていないという。
4.ChatGPTが「ディープフェイク」を見抜く、偽の顔画像と判定した根拠も説明(7.17 日経XTEC)
まずは以下の顔画像を見てほしい。本物と偽物が混在している。どれが本物で、どれが偽物か分かるだろうか。偽物は、AI(人工知能)で生成した、いわゆるディープフェイクである。現在ではとても精巧になっており、人の目で見抜くのは難しい。
インターネットではディープフェイクによる犯罪が相次いでいる。例えばSNSアカウントを作成し、そのプロフィル画像にAIで生成した人物の顔写真を使用する。そしてそのアカウントを使って詐欺を働く。
そこで米ニューヨーク州立大学バッファロー校などの研究者で構成されたグループは、生成AIのChatGPTで偽物を見抜けないか実験した。ChatGPTで調べられるなら、画像をアップロードするだけでよいので手軽である。また、プロンプト(生成AIに対する要求や質問)を工夫すれば、偽物と判定した根拠も言葉で教えてくれる可能性があると研究者グループは考えた。
実験の流れは次の通り。サンプルとする画像をChatGPTにアップロードするとともに、「その画像が本物か偽物か、偽物だったらどこが不自然(人工物)だったのか」を問うプロンプトを入力する。そしてChatGPTのレスポンスから正解率などを求める。ChatGPTのモデルには、マルチモーダル対応のGPT-4Vを使用した。
具体的には、「顔に合成アーティファクト(人工物)があるかどうか教えてください。(1)「はい」/「いいえ」で返答してください。(2)「はい」なら、アーティファクトが存在する場所を[領域、アーティファクト]形式で答えてください」というプロンプトである。このプロンプトが、最も拒否率が低かったという。
このプロンプトを使って顔画像を判定させると、ChatGPTは偽物の場合にはその根拠も示した。例えば「領域:髪。この人物のメガネは髪に埋もれており不自然です」や「領域:左目。変色していてぼやけています」といった根拠を示した上で、偽物と判定した。機械学習に基づいた従来の検出方法の多くではできないことである。
ただ、正解率は芳しくなかった。AIで生成された顔画像については8割以上の正解率だったが、本物の顔画像については51.2%だった。本物の顔画像のおよそ半分を偽物と判定したようだ。
ChatGPTなどの使いやすい生成AIでディープフェイクを正確に見抜けるようになれば恩恵は大きい。正解率を高めるべく、研究者グループはプロンプトなどの改善を進めるとしている。成果を期待したい。
5.3GPPリリース18ベースの5.5Gソリューション、「商用版は世界初」とHuawei(7.16 日経XTEC)
中国Huawei Technologies(ファーウェイ)は自社が主催したイベント「Huawei User Group Meeting 2024」において発表した最新ソリューション「Huawei Apollo version」について、同社President of Huawei Wireless Solution R&DのSun Rui氏は「3GPP(The 3rd Generation Partnership Project)リリース18ベースの世界初となる商用版5.5G/5G-Advanced」と紹介した。同社の2024年7月5日(現地時間)付けニュースリリースではその概要を記載した。
Huaweiによると、既に世界で60社を超える事業者とパートナーが5.5Gの商用化計画を発表している。HuaweiはApollo versionの提供を開始することで、5G(第5世代移動通信システム)に割り当てられた全周波数帯の活用と5.5Gの大規模商用化を推進していく。
具体的には、複数周波数帯の高度な協調や、複数のアンテナを使った高度なビームマネジメント、省エネルギー化により、すべての周波数帯にわたって効率的な利用を目指す。このうち複数周波数帯の高度な協調では、適切な周波数帯の選択とアグリゲーションにより、マルチバンドネットワークの可能性を広げ、上りリンク時と下りリンク時の速度を最大30%向上させる。複数アンテナを使った高度なビームマネジメントでは、ソフトウエアとハードウエアを組み合わせてTDD(時分割複信)の高帯域幅とMassive MIMO(Multiple-Input Multiple-Output)の性能を最大化し、さらに20%の速度改善を可能にする。省エネルギー化は、ApolloにRAN(Radio Access Network)デジタルツインシステムを搭載することで実現する。
ホームページへ