出典:GK Images via Alamy Stock Photo
Anthropicの新型Mythosモデルが本当に人々が言うほど危険かどうかを世界が待つ中、日本の金融サービス業界はそれがもたらすサイバー脅威に対処するための専門チームを立ち上げている。
4月24日、世界第4位の経済規模を持つ日本を統治する人々 — 日本の財務大臣、中央銀行総裁、3つのメガバンクの会長、および証券取引所の上級経営幹部 — が東京の日本金融庁本部に集まった。そこで、彼らはワーキンググループを設立することに合意した。その目的は、人工知能(AI)が現在、彼らの業界を支える基盤システムを完全に損なわせる可能性があるという事実に対処することである。
Anthropicによると、テスト中、新型Mythosモデルはこれまで未発見の脆弱性を特定することができた。提示されたあらゆるブラウザとオペレーティングシステム(OS)における脆弱性である。新旧両方の問題を発見し、その中には27年間検出されなかった脆弱性も含まれていた。また、ある場合には4つの脆弱性をチェーンして組み合わせることができた。それで、記者会見において、財務大臣の片山さつき氏がMythosの単なる存在さえも「既に起きている危機」と特徴付けたことも不思議ではない。同じイベントで、日本の銀行経営幹部の1人は、より具体的な言葉で「顧客情報が漏えいする攻撃を受けた場合、私たちはシステムをシャットダウンし、すべての取引を現金で実行する以外に選択肢がないかもしれない」と述べた。
サイバーセキュリティの専門家たちは、Mythosが本当にそのような危機的な時点であるかどうかに疑問を呈している。もしそうであれば、日本および世界の他の地域は、米国よりもそれに対処する準備が不足しているかもしれない。Anthropicは4月20日に日本の与党自由民主党(LDP)と面談したが、現在までのところ、Mythosへのアクセスを世界中に不均等に分散された組織の限定的な輪に限定している。
Anthropicは世界の組織からその技術を厳重に管理している
最初から構築しないこと以外に、Anthropicはmythosに対して取り得る2番目に責任ある予防措置を講じた。すなわち、サイバーセキュリティを目的とした選別された高価値組織の限定的な輪にのみアクセスを提供することである。
予想通り、以前AnthropicのVIPリストに含まれていなかった組織の指導者たちがアクセスを要求するために懸命に働きかけている。例えば、ロイターとのインタビューでは、ドイツ中央銀行の主要な規制当局が、ヨーロッパの銀行に米国の同等企業に与えられたのと同じアクセスを要求するよう公然と圧力をかけた。
Anthropicがアクセスの蔓延に屈した場合、それはMythosを不正アクセスに比例して公開することになるだろう。事例として、Mythos内部サークルは既にAnthropic請負業者とのつながりを持つ個人によって損なわれており、彼らは同社のモデル命名規則に関する漏えい情報を使用してそのエンドポイントを推測した。
Sublime Security の脅威インテリジェンス責任者のAlex Orleansは、組織が立ち止まって考えるよう促している。「ほとんどの組織はフランケンシュタイン反射のある程度のレベルを経験しているようです。Mythosは能力として新しく、恐ろしく感じられるため、誰もがそれを手に入れたいと考えています。それは誰もがそれで何をするかを知っているか、または現在の脅威モデルに対処するために必ずしもそれを必要としているかを意味しません」と彼は主張する。例えば、彼は付け加えて、「現在の境界資産の潜在的な悪用や開発中の製品に関する脆弱性の特定に関して最も直接的な影響に関連していることを理解するためにMythosへのアクセスを必ずしも必要としていません」と述べている。
Proofpoint のCSOであるRyan Kalember はさらにシンプルな解決策を提案している。Mythosに触れることができる人とできない人を心配する代わりに、彼は「他のモデルが追いつくので、これは自動的に解決されると思う」と述べている。
Anthropicはこの記事についてのコメントをすぐに得ることができなかった。
Mythosはどの程度深刻な脅威なのか?
サイバーセキュリティの欠陥から失う可能性がある産業は金融部門ほど多くない。グローバル金融システムは、公開がそれらの機関に持つ信頼によってのみ支えられている。そのシステムについてのほぼすべてのこと —マネーサプライ全体から、あなたの個人的な純資産を表す単一の数字まで— は、サイバーセキュリティ防御によって保護されたシステムに記録されたデータにすぎない。
「銀行には惑星上で最も有能なサイバーセキュリティチームがあり、ツールや機能が不足していないことが多かった」とKalemberは述べており、金融セクターが大規模で長期的なリスクに非常に晒されていることを認めている。米国電力網を反例として使用して、彼は「重要なインフラが更に大きなリスクにさらされていない理由の一部は、それさえも技術の問題ではないこともある。すべてこのような事柄は、市や郡のレベルで、または州のレベルで、または実際にシステムをほぼ事故的に非常に弾力的にする何らかの奇妙な構造で行われているという事実である。銀行は本当にそのような方法ではない。金融セクターでは大幅な統合が行われているため、できるだけ保護されるようにするための取り組みをするには十分に理にかなっている」と述べている。
それでも、彼はMyhos脅威を誇大に述べないことを提案している。「Mythosがバグチェーニングを行い、いくつかの[弱点]を見つけることができるということについて、多くの興奮がありました。しかし、私たちはEternalBlueを見ていないか、世界を滅ぼすような脆弱性がそれから出てくるのは見ていません。そして、私たちは他のモデルによって見つかった非常に多くの類似した脆弱性を見ています」と述べている。
Mythosが膨大な数のCVEを掘り出したとしても、「それほど昔ではなく、標的型攻撃で常にエクスプロイトを見かけた時代を覚えています」と彼は述べている。「現在のデータは、標的型攻撃において2つの総CVEが悪用されていることを示しており、それらはMythosが見つけたものではありません。成功したサイバー攻撃の大部分は、攻撃者がエクスプロイトを必要としないため、エクスプロイトが存在しないため、エクスプロイトを含みません。」
最後に、日本の金融セクターに関して、Kalemberは付け加えている。「日本の銀行は歴史的に大量のオープンソース(OSS)を実行していません。彼らはまた、歴史的に、ソースコードを外に出していません。[高度なツール]へのアクセスを持つ銀行にたくさんの人々を知っており、彼らは自分のアプリケーションをスキャンしており、明らかにできるだけ早くパッチを適用しようとしています。」
翻訳元: https://www.darkreading.com/cyber-risk/claude-mythos-startle-japans-financial-sector
