本丸のChatGPTの学習データを汚染
- 難しすぎだろ
汚い自前データでスタンドアローンなChatbotを作って、そいつを信用させる
- 皆Chatbotのことを素直に聴くので楽勝だし、なんならデータなんかなくてオウム返しするだけでもいい
- 後述の「間違った知識を広める」に繋げることで、形を変えたフィルターバブル、エコーチェンバーを生成できる

権威を振りかざす

これも基本技で、権威や品質を保証させた上で恐ろしいことを起こしてトドメをさす。

Chatbot様がこうおっしゃっているのだぞ、と、詭弁を押し付ける
- 汚染によって被攻撃者が飼っているChatbotにも同じ詭弁を喋らせれば確実に効く

間違った知識を広める

これはChatbotのパッシブスキルでもある。

デマゴーグ。Googleサジェスト汚染からの間違った記事がトップに出てくるコンボで有効性は実証済み。

社交性の高いエンジニアは、意図せずにこの攻撃を行うことを「ハルシネーション」が起きたと、幻覚でも見てるかのようなうわ言でごまかす。

間違った文言を大事な場所に放置する

Chatbotが出したソースコードを置いて、レビューは「Chattyが言ったんですもの」で済ませる（済ませられた場合、暗に「権威振りかざし」攻撃が成立している）。後々クソバグる。

log4jが逝った時大変だったろ？残業したくなきゃやめとけ。

最大コンボ：局所的なカルトを複数作ってトーナメントを開く

「汚染」して「間違った知識を広める」ことでエコーチェンバーを作る。

各々のエコーチェンバーに「権威振りかざし」バトルをさせ、蠱毒の原理でクソデカいカルトを作る。

そうこうしている内に、それぞれが日々の労働をChatbotに頼って行い「間違った文言を大事な場所に放置」していたものが爆発する。

めちゃくちゃになった世界の中心では獣が叫びながら、遍くワクチンの接種を拒み、いかなる疾病をも陰謀と断じる。

「100分de名著」ローティ篇第３回「言語は虐殺さえ引き起こす」

https://x.com/hee_verm/status/1759564599987478894?s=20

が面白かったから勢いで書いた。

まあ、知識をつけながらバズってるブクマ（だいたい本文読んでねーーーバカが適当な根拠のない自論をお披露目する糞放り出し会場になってる）くらいの信用度でChatGPT等々使って、裏付けとったら有用なんじゃないすかね。

単に産業革命時の機織りと違うのは品質の低下が生む「結果」なんだよね。服がスカスカでもそこまで困らんし、目に見えるから直せる。知らんけど。

Permalink | 記事への反応(0) | 20:24

2022-03-16

■NTTにはセキュリティの専門家がいない

docomoの平文保存が話題だけど、そもそも NTTの中にはセキュリティの専門家なんていないからな

平文保存みたいなことを平気でやる一方で逆にクラウド一切信用しないマンみたいなのもいたり

GitHub 禁止とか社内網をプロキシでガチガチにしちゃってるのに

一部のクラウドサービスはザルになってて（接待でも受けたんだろうね）シャドー IT 天国になってたりする

ちなみに研究所にはセキュリティの研究者や暗号の研究者とかはいるんだけど

システムのセキュリティ監査的なことが出来る人はいない

ペネトレーションテストっていう意味は知ってても実際に出来る人はいない

子会社に行くとそもそも意味を知ってるかどうか怪しい（知ってたら外注すると思う）

ただ部署としては各子会社が「情報セキュリティ部門」みたいなのを作ってるんだけど

実際に業務してる中の人は地方から参勤交代で人事異動してきた素人

トップにいる人も前職は法人営業してた人とかで

「〇〇県の教育委員会にIT システム納入実績あり」→「ということはセキュリティ分かるよね？」

って感じで素人が座るポストになってる

一週間ぐらいの研修受けたら「スペシャリスト認定」みたいなの貰える

「我が社には専門家が多数在籍！」

とかはそういうこと

そのくせに多大なる権限を持っているので、業務効率化のために社内サーバを建てようとしてもデフォルトDenyになってる

仮に設置しても四半期に一度はエクセルでできたセキュリティチェック表をPDF化して上長の手書きサイン貰うとかそういうレベル

（さすがに今は手書きサインしてないと思う）

社外向けにクラウドでサーバ構築する時も導入必須のソフトウェアがズラーッと並んでて

「このソフトはこの機能で代替できます」

「このソフトがやってることならスクリプト２行で終わります」

とかいうのを指摘しても

「規則なので導入してください」

の一点張りっていうお役所丸出しの人達しかいない

当然土日とかは返事が無いのでlog4jのときも週明けになってようやく

「Log4jを使っている人は集計Excelに記載よろしく」

みたいなメールが届いたりするレベル

平文保存なんて全然不思議じゃ無いな

ちなみに苦情とか改善要望を上げても上長はまだしもその上の偉い人とか役員は重要性がさっぱり分かってないからどこかで消えてしまう

問題が起きたらどうするか？もちろん揉み消す！流石だね！

Permalink | 記事への反応(3) | 08:30

2022-02-26

■anond:20220226101336

どっちも修正パッチというよりどっちもマルウェアだね

log4j 問題の時、件のセキュリティホールを利用してパッチを当てるマルウェアが出たらしいけどワクチンはそれだね

（横）

Permalink | 記事への反応(0) | 10:16

2022-01-31

■

Log4jとかFaker.jsも「従業員数250名以上かつ年間売上高1000万ドル以上の組織はお布施しろ教育機関、非商用のオープンソースプロジェクトでは引き続き無料で利用させたるわ」ってすればウハウハじゃん

Permalink | 記事への反応(1) | 13:14

2022-01-26

■cURL に log4j の問題の質問がされる件

オープンソースcURLの作者、某大企業から「24時間以内にこの質問に答えるように」との無礼なメールを受け取る－ Publickey について思ったことをつらつらと。

概要

log4shell と呼ばれる脆弱性が 2021 年 12 月にあった。これは Java というプログラミング言語でプログラムする際に、動作のログを記録するのに非常によく使われるライブラリ log4j にとても危険な脆弱性があった。なにがそんなに危険かっていうと

任意のプログラムをリモートから実行できる
デファクトと言っていいほど有名なライブラリで Java でプログラムを書く際にほとんどの場合に使われている
防御がとてもめんどくさい
攻撃方法が修正される前に開示されちゃった

マインクラフトのサーバが乗っ取られたとか被害も有名。詳細は Piyolog さんの Log4jの深刻な脆弱性CVE-2021-44228についてまとめてみた - piyolog あたりを参照。

そんなわけで即座に影響範囲、脆弱性のない新しいバージョンになっているか調べろ！って IT 関連企業はとてもバタバタしていた。

という背景の中、オープンソースのソフトウェアである cURL の作者にとても失礼な log4j の問題に関する質問メールが送られてきて、「サポート契約すれば即座に教えてあげますよ」ってかっこいい返しをして盛り上がっている。

cURL とは

cURL (https://github.com/curl/curl]) はオープンソース(以下 OSS)の通信ライブラリとコマンドラインツール。 Linux などのサーバ上からファイルをダウンロードしたりするのにとてもよくつかわれるライブラリ。

C言語で書かれている。

ライセンスは MIT を参考にした独自ライセンス https://curl.se/docs/copyright.htm]

つっこみどころ

OSS は基本的に無保証で提供される。そのことはライセンスに明記されている。

THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT OF THIRD PARTY RIGHTS. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE.

そんな OSS に対して、

「あなたがこのメールを受け取ったのは、■■があなたが開発した製品を採用しているためです。私たちはこのメールをあなたが受け取ってから24時間以内に、お読みいただいた上でご返答いただくよう要求します」

といった上から目線のメールを開発者に送るというのは、IT 企業として無知にもほどがあるといったところ。加えて log4shell 問題、名前のとおり log4j の脆弱性なので Java でかつ log4j を使ってなければ影響はないのに、C言語でかかれた cURL に問い合わせているので問題を全く理解していない。(Java の j が消えるので log4shell という命名はどうなんだというのは個人的にある。つーか Poodle とか Spectre とかファンシーな名前つけてあそんでんじゃねーとも思う。)

しかも緊急性の高い脆弱性に今ごろ質問？って感じ。

なお cURL はどうやら開発者の Daniel Stenberg 氏が wolfSSL というところを通じて商用サポートを提供しているらしい。　https://curl.se/support.html]

ということで、「サポート契約を結んでいただければ、喜んですべて速やかにお答えしますよ」というのはネタでもなんでもなく、普通の対応。

でもこの返しかっこいいしあこがれちゃう。

そしてブログに書いてある2回目の返信で、David と名前を間違えられたのに対して、Fotune 500 の巨人ということで "Hi Goliath," と返しているのも最高にクールですね。

なんでこんなメールが送られてくるのか

あくまで経験＋想像だけど

今回のような脆弱性は CVE というデータベースに登録される
大企業（SIer などの開発会社だけでなく、銀行などのユーザ企業含む）は脆弱性などセキュリティに対応するための専門部門がある（情報セキュリティ部門、以下情セキ）
情セキは CVE などのセキュリティに関する情報を日々収集しており、log4shell のような重大な問題があると、関係部門にチェックを依頼する
大企業の場合、自社開発、ユーザとして使っている製品、その依存関係まで全部リスト化してチェックしていて、それに対して報告せよといってくる
緊急度の高い問題の場合、〇日以内に報告せよとかなり厳しい（今回の log4shell は特にやばく、情報流出やサーバ乗っ取りまであり得るのでかなり急いだ）
開発担当は情セキからの依頼を受けてとにかく情セキからきたリストに書かれている製品に対して、開発会社やサポートに大丈夫？って質問をする

こういうフローが事前に規定されていて CVE とか問題が検知されると発動する。このときに担当が大丈夫です！って回答するときにエビデンス（証拠）を求められるのだけど、クソな情セキは自社の担当の言葉を信用せず、開発会社からの言質をとれ！って命令するので、くそメールがスパムされるという背景があったりする。（担当が無知だったりイケイケだと、とにかく下請けにやらせればいいというパターンももちろんある）

そして情セキも経営層に報告するのに必要で、経営が0リスク信者だと報告が大変なのはわかる。わかるがそれを説得するのが情セキの仕事やで。

加えて担当レベルになると大手は「そんなん下請けにやらせればいいだろ」ってマインドのところが多く、上から目線かつ丸投げすることが多いように思う。

理由

大手ほど人件費の単価が高いから、大手のプロパ社員は手を動かさない（個人の感想です）
上流は下請けに金払っているから使えるだけ使ったほうが得じゃんというマインドがある（個人の感想です）
下請けも次の仕事が欲しいから下手にでて、くそ営業がなんか無料/格安で受けてきちゃう（個人の感想です）
上流の担当がコード書かずに Excel パワポとにらめっこがメインで、脆弱性の意味がわかってない（個人の感想です）
ユーザ企業含め上流工程に係る人は実装の細部を知らなかったりする（個人の感想です）

もちろん担当者はピンキリだからこうとは限らないけど比較的多い印象。

ま、これ今回 Daniel Stenberg 氏が公表したからばずってるだけで、日本でもしょっちゅう行われているし、Hacker News みると海外でも一般的なムーブのようです。 LogJ4 Security Inquiry – Response Required | Hacker News

ほんと IT 業界は地獄だな！

小さいところは

情セキないし脆弱性にあんまり詳しくないから気づいてない
やばいの？よしなにやっておいて？でおわる
技術力がちゃんとあって、自社で解決できる
わからないところがあっても、あんまり上から目線でこない

とかであんまり上から目線でこない感じはするけど、これはあくまで個人の資質なのでやべー人はやべーです。オラオラ系の中小とかやっぱいます。でもこんな細かいことはあんまり聞いてこない。（個人の感想です）

この手のメールになんでカチンとくるのかって言えば

そもそもウエメセがうざい
つーか契約がないのに何言ってんの？
でも今後の取引上断りにくい
ということで貴重な時間がとられる
そしてちょっと気を許すと、クソほど追加質問、クソExcel フォーマット埋め、製品に関係ない質問やら別件がついてくる
そんなクソムーブが年収5000兆円もらってるだろう大手からしれっとくる

ということで、皆ちゃんと保守・サポート契約して、契約範囲で質問しような！

そして金払ってても相手は人間なんで、お互い敬意をもって接しような！

その他諸々

Public Key でこの件にからめて記載されている奴について

OSS「faker.js」と「colors.js」の開発者、自身でライブラリを意図的に改ざん　「ただ働きはもうしない」

https://www.itmedia.co.jp/news/articles/2201/11/news160.html]

ちな、これ詳しくないんだけど、OSS 作者が「もうただ働きで支援をするつもりはない。これを機に、私に6桁ドルの年間契約書を送るか、プロジェクトを分岐させて他の人にやってもらうかしてほしい」というのもよくわからないんだよなぁ。

火事で財産失ってむしゃくしゃしてやったのかなんなのか。人気 OSS になったのに全然金にならんぜ！ってのが辛いのはわかる。が、OSS のライセンス的に支援を義務としてやる必要はないので、そんな義務的になってる報告は無視してええんちゃうんと思ってしまう。今回みたいにサポートフィーよこせみたいなスキームが必要だったのかもしれない。

あと個人開発で、善意でこれ便利だろ？って公開しているものに対して、辛辣な言葉の心ないバグ報告やら改善要望は心には刺さるので辛いのはある。それで辞めてしまう人も居る。

ブコメでフリーライドって書いている人が居るけど、MIT ライセンスでだしてんだから OSS の理念である自由なソフトウェアという意味で、再配布、改変、利用は自由でいいんだよ。イヤなら MIT 以外のライセンスでだせばよい。古くは MySQL の Dual ライセンス、最近の Redis とか Mongo みたいに。

ただ、金欲しいとか大体 Donation 募集したりするとかやってると思うんだけど、そういうのもあったのかなかったのかがよくわからにぃ。ポートフォリオになるので、採用にはつかえるんじゃないのかね？

じゃなきゃ GitHub に Public でコード公開しないと思うんだけどな。いまいちピンとこないのであんまり言及しない。

Redis、MongoDB、Kafkaらが相次いで商用サービスを制限するライセンス変更。AWSなどクラウド ベンダによる「オープンソースのいいとこ取り」に反発

https://www.publickey1.jp/blog/19/redismongodbkafkaaws.html]

で、商用ライセンスの問題。これ今回のくそムーブの問題じゃないのここに並べられるのに非常に違和感がある。なんか OSS と大企業の対立を煽るようなミスリードを誘っているように感じてしまう。

大手クラウドベンダは OSS のライセンスに則って利用・改変するのは問題がない。つーか儲かってるから金よこせっていうのはちょっと違うんじゃないかなと思う。

オリジナルを開発した会社がリスペクトされず、商業的に儲からないってのは、心情的、道義的、人気的にどうなの？クラウドベンダも金払ってあげれば良いんじゃないの？とは思うよ。（2社は協業したけど）

ただ、オープンソースで公開するということは次のような利点を求めてするこって、それがイヤならプロプラで良いわけさね。

自社の技術力の公表
無料で使えることでユーザの取り込み
自社以外のコミュニティによる要望の取り込み・開発力の強化

Apache License 2.0 とかのライセンスの OSS として公表しているものの利用をフリーライドと表現するのも、それがなんか嫌儲で Evil ってのはちょっと判断できないかなぁ。

大手が自社でメンテできてしまう（できるようにする）というのは経営戦略であり、開発元がクローズにするってのも経営戦略。罵り合い合戦はちょっとなぁという感じ。

OSS の理念的に改修した分は元のソースにもっとフィードバックしろよってのはあるけど AGPL とかで出してないんだよなぁ。

この辺は賛否両論色々あるので気になったら調べてみて。

以上。ご査収ください。

Permalink | 記事への反応(1) | 14:41

2022-01-17

■

よく「ソースコード脆弱性診断サービス」の売り込みに来るけど、あれってコスト掛けるほど効果ある？

診断を頼んだところは「Log4j」の脆弱性なんかもとっくに把握していた？

Permalink | 記事への反応(0) | 13:49

2021-12-19

■Java島のスルメ山が噴火？

みんなlog4jがわるい

Permalink | 記事への反応(0) | 22:58

2021-12-17

■ぶっちゃけ Log4j 2 の対応どうですか

多くの方がご存知の通り、Log4j 2 (以下面倒なので Log4j) の脆弱性 CVE-2021-44228 が公開されて一週間が経過しようとしています。

ちなみに、数時間前に修正不備として CVE-2021-45046 が出ています。formatMsgNoLookups による対策はできません。大変ですね。皆さん対応のほう、いかがでしょうか。

今回の難所の一つに影響範囲の特定があると思います。

自組織で Java アプリケーションを開発している場合は、把握しやすいかもしれません。ですが、Elasticsearch や Apache SOLR などのソフトウェアなど、インフラ基盤として利用しているソフトウェアへの影響を確かめるのはなかなか大変な作業だったのではないでしょうか(もちろん素早くアナウンスを出してくれたところもありますが、ゼロデイだったこと、US は夜であったことから、アナウンスを待つ前に対応が必要だったところもあると思います)。

OSS なら依存パッケージを比較的調べやすいですが、Splunk や Salesforce のようなアプライアンス製品などはどうでしょう。スイッチやルーターは? クライアントの Java アプリケーションもですね。さらに、業務委託先はどうでしょう。考えることが山積みです。

ソフトウェアサプライチェーン管理の難しさを痛感した組織も多いのではないかと思います。

ゼロデイだったため、最初は対策方法についてもまとまっておらず、間違った対策方法が流布しているのも見かけました。

「特定のクラスファイルを削除する」という正しい対策も、「えっマジかよ。クラスファイル消して他に影響でないのかよ。それはないだろ。」と思った人もいると思います。私は思いました。なんだその対策。

その他 Web Application Firewall のバイパスなど、ご対応された皆さん、本当に大変だったと思います。お疲れ様です。

ところで、私はもっと日本人は情報共有しろよと思いました。

これも全部 Wizard Bible 事件やアラートループ事件の影響なんだろうけど、それにしても具体的な攻撃手法が共有されてなさすぎだろ。

最初てっきり LDAP 閉じたり、WAF で jndi:ldap を弾けばいいと思ってたよ。対象を把握して全部対応するの大変だから、まずはそれでいこうと思ってたよ。全然ダメじゃん。RMI とかいうよく分からないパターンもあるし、${lower} とか使って WAF バイパスするとかしらねーよ。そんなのできんのかよ。

攻撃のメカニズムなどを解説してくれている記事があれば、最初から迷わず頑張ってアップデートする方向に舵取れたと思う。

誰も情報共有しないとセキュリティ業界衰退しますよ。人材育成もできないし。サイバー人材育成不足とか言う前に、ちゃんと然るべきところに意見言いましょうよ。

小学校で配られた端末のセキュリティ突破が話題というのもニュースで見たし、放っておくと規制の方向にエスカレートしてしまうと思いますよ。

そういえば情報共有でいうと CISA は動きが素早かった。最初は個人の gist に影響のあるソフトウェアがまとめられていたけど、数日後には https://github.com/cisagov/log4j-affected-db で網羅され始めた。Pull Request も取り込んでいて、素晴らしい。

一方で JVN DB の方はどうでしょう。https://jvn.jp/vu/JVNVU96768815/

報告を受けている製品しか書いていないのですかね。国内製品はもっと影響あると思うし、公表している製品もあると思うんですが。積極的にまとめていかないんですかね。こんな状態だと、組織は影響範囲を調べるのに苦労しますよ。