作者: Ole Lehmann翻訳: Deep Tide TechFlowDeep Tide 解説: Anthropic が最新の最先端モデル Claude Mythos Preview を公開しました。このモデルは、主要なすべてのオペレーティングシステムとブラウザにおいて数千ものゼロデイ脆弱性を見つけるほどの性能で、強すぎて Anthropic 自身も公開できないほどです。悪いニュースは、同様の能力を持つモデルがいずれ攻撃者の手に渡ることです。OpenAI の共同創業者 Karpathy が去年まとめたデジタルセキュリティのチェックリストがありましたが、いまこそ真剣に取り組むべき時です。状況はこうです:Anthropic は昨日、Claude Mythos Preview を発表しました。このモデルはどれほど強いのか? 主要なすべてのオペレーティングシステムとブラウザで、数千ものゼロデイ脆弱性を見つけることができます。強すぎて Anthropic 自身が一般に公開できず、制御不能な破壊を招くのを恐れています。このモデルは現時点ではまだ公開されていませんが、悪い人が同等の能力を持つモデルを手に入れれば(それは時間の問題です)、あなたが直面するサイバー攻撃は、多くの人がそもそも自分が侵害されていることに気づけないレベルまで進んでいるでしょう。これはソフトウェアの世界の疫病のようです。だからこそ、あなたのデジタルセキュリティ防衛線は、今すぐ補強しなければなりません。Karpathy のデジタルセキュリティガイド去年、OpenAI の共同創業者 Karpathy が、デジタルセキュリティガイドをまとめました。AI 時代の個人の安全防護における基本をカバーしています。私が見た中で、最良の入門チェックリストの一つです。以下は、あなたが今すぐやるべき 15 のこと:1. パスワードマネージャー(例:1Password)を使うあなたのすべてのアカウントに対して、独立したランダムなパスワードを生成します。もしあるサービスが侵害された場合、攻撃者は同じアカウントとパスワードを使って、他のあらゆるプラットフォームに突撃します。パスワードマネージャーはこのリスクを直接消し去り、さらに自動入力もできるため、実際にはパスワードの使い回しより速いのです。2. ハードウェアのセキュリティキー(例:YubiKey)を用意するこれは物理デバイスで、あなたの第2の認証要素として機能します。攻撃者があなたのアカウントにログインするには、実際にこのデバイスを手に入れる必要があります。携帯のSMS認証コードは実は安全ではありません。SIM カードのハイジャック(誰かがあなたのふりをして通信事業者に電話し、あなたの番号を相手のスマホに移す)も、あなたが思っているほど難しくありません。2〜3 個の YubiKey を買い、別々の場所に置いておきましょう。1つ失っても、締め出しを食らうことを防げます。3. すべてのデバイスで生体認証を有効にするFace ID、指紋。あなたのデバイスが対応しているものはすべてオンにします。パスワードマネージャー、銀行アプリ、すべての機密アプリに設定してください。これは第3の認証です:あなたが誰か。誰もデータベースからあなたの顔を盗むことはできません。4. セキュリティの質問はパスワードとして扱う「あなたのお母さんの旧姓は何?」のような質問は、Google で 10 秒で調べられます。セキュリティの質問にはランダムな答えを作り、パスワードと一緒にパスワードマネージャーに保存します。セキュリティの質問には決してありのままに答えないでください。5. ディスクの暗号化をオンにするMac では FileVault、Windows では BitLocker です。ノートパソコンが盗まれた場合、ディスク暗号化があれば泥棒が手に入れるのは、あなたのすべてのファイルではなく一枚の“レンガ板”です。2 分で有効化でき、バックグラウンドで静かに動きます。6. スマートホームデバイスを減らすあらゆる「スマート」デバイスは、本質的にはネットワークに接続されたコンピュータで、マイクを備えてあなたの家に座り込んでいます。それらは継続的にデータを収集し、絶えずサーバーへ送り返し、さらにしばしばハッキングされます。あなたが Amazon で買ったあの Wi-Fi の空気品質検知器には、あなたの正確な GPS 座標を知る必要はありません。ネット接続されたデバイスが少なければ少ないほど、ネットワークの入口も少なくなります。7. 日常の連絡には Signal に切り替えるSignal はメッセージをエンドツーエンド暗号化します。誰も(Signal 自身、あなたの通信事業者、いかなる傍受者も)あなたのメッセージを読み取れません。一般的なSMSや iMessage ですらメタデータを保存します(誰と誰がいつ話して、どれくらい話したか)。権限のある人なら、分析ができます。メッセージの自動消失機能をオンにすることをおすすめします。90日がよいデフォルトです。そうすれば、古い会話がそのままリスクになりません。8. プライバシー重視のブラウザ(例:Brave)を使うBrave は Chromium をベースに構築されており、すべての Chrome 拡張が使え、体験もほぼ同じです。9. デフォルトの検索エンジンを Brave Search に変更する理由は、それが独自のインデックスを持っているからです。DuckDuckGo のように、本質的に Bing の“スキン”ではありません。ある検索結果がいまいちなら、前に「!g」を付けるだけで、そのクエリを Google にリダイレクトできます。月 3 ドルのプレミアム版。無料でプロダクトになるより、課金して顧客になるほうがいいでしょう。10. バーチャルクレジットカード(例:Privacy.com)を使う各加盟店に対して新しいカード番号を生成します。各カードに利用上限を設定でき、請求先の氏名や住所は適当に入れて構いません。もしその加盟店が侵害されたとしても、攻撃者が手に入れるのはあなたの実際の金融上の身元ではなく、使い捨てのカード番号だけです。つまり、加盟店があなたの本当の住所以外を知らないことにもつながります。11. バーチャルの受取住所を作るVirtual Post Mail のようなサービスが、あなたの代わりに実際の郵便物を受け取り、スキャンしてからオンラインで確認できるようにします。あなた自身が、どれを細断するか、どれを転送するかを決められます。これで、毎回チェックアウトのたびに本当の自宅住所をさまざまなネットショップに渡す必要がなくなります。12. メールにあるリンクをクリックしないメールアドレスは偽装するのが非常に簡単です。AI がある今、フィッシングメールは本物のメールとまったく同じに見えるようになっています。リンクをクリックするより、自分で手動でサイトを開いてログインしてください。また、メール設定の自動画像読み込みはオフにすることをおすすめします。埋め込まれた画像は、あなたがメールを開いたかどうかを追跡するために使われます。13. VPN を選択的に使用する(例:Mullvad)VPN はあなたの IP アドレス(デバイスと位置を識別する唯一の番号)を隠し、接続したサービスがあなたが誰か分からないようにします。24 時間つけっぱなしにする必要はありません。公共の Wi-Fi や、あまり信用できないサービスにアクセスするときにオンにしましょう。14. DNS レベルで広告ブロックを設定する(例:NextDNS)DNS は基本的に、あなたのデバイスがウェブサイトを探すための電話帳です。このレベルでブロックすることは、広告やトラッカーが読み込まれる前にそれらを叩き落とすことを意味します。あなたのデバイス上のすべてのアプリとブラウザに有効です。15. ネットワーク監視ツールをインストールする(Mac では Little Snitch を推奨)これは、あなたのコンピュータ上のどの App が通信しているのか、どれくらいのデータを送っているのか、どこに送っているのかを表示します。通信の戻りデータが想定を超えている App は疑わしく、たいていアンインストールすべきです。現時点では Mythos は Project Glasswing の防御側が掌握しています(Anthropic、Apple、Google など)。しかし攻撃者はすぐに Mythos レベルのモデルを手に入れるはずです。おそらく 6 か月以内、もっと早いかもしれません。だから今、セキュリティ強化が緊急の課題です。今から 15 分で設定すれば、後々の面倒なことが山ほど省けます。
Anthropicが公にできないモデルでも、数千もの脆弱性を特定できる。この15条のデジタルセキュリティ・チェックリストは保存推奨
作者: Ole Lehmann
翻訳: Deep Tide TechFlow
Deep Tide 解説: Anthropic が最新の最先端モデル Claude Mythos Preview を公開しました。このモデルは、主要なすべてのオペレーティングシステムとブラウザにおいて数千ものゼロデイ脆弱性を見つけるほどの性能で、強すぎて Anthropic 自身も公開できないほどです。悪いニュースは、同様の能力を持つモデルがいずれ攻撃者の手に渡ることです。OpenAI の共同創業者 Karpathy が去年まとめたデジタルセキュリティのチェックリストがありましたが、いまこそ真剣に取り組むべき時です。
状況はこうです:Anthropic は昨日、Claude Mythos Preview を発表しました。
このモデルはどれほど強いのか? 主要なすべてのオペレーティングシステムとブラウザで、数千ものゼロデイ脆弱性を見つけることができます。強すぎて Anthropic 自身が一般に公開できず、制御不能な破壊を招くのを恐れています。
このモデルは現時点ではまだ公開されていませんが、悪い人が同等の能力を持つモデルを手に入れれば(それは時間の問題です)、あなたが直面するサイバー攻撃は、多くの人がそもそも自分が侵害されていることに気づけないレベルまで進んでいるでしょう。
これはソフトウェアの世界の疫病のようです。
だからこそ、あなたのデジタルセキュリティ防衛線は、今すぐ補強しなければなりません。
Karpathy のデジタルセキュリティガイド
去年、OpenAI の共同創業者 Karpathy が、デジタルセキュリティガイドをまとめました。AI 時代の個人の安全防護における基本をカバーしています。
私が見た中で、最良の入門チェックリストの一つです。以下は、あなたが今すぐやるべき 15 のこと:
あなたのすべてのアカウントに対して、独立したランダムなパスワードを生成します。
もしあるサービスが侵害された場合、攻撃者は同じアカウントとパスワードを使って、他のあらゆるプラットフォームに突撃します。パスワードマネージャーはこのリスクを直接消し去り、さらに自動入力もできるため、実際にはパスワードの使い回しより速いのです。
これは物理デバイスで、あなたの第2の認証要素として機能します。攻撃者があなたのアカウントにログインするには、実際にこのデバイスを手に入れる必要があります。
携帯のSMS認証コードは実は安全ではありません。SIM カードのハイジャック(誰かがあなたのふりをして通信事業者に電話し、あなたの番号を相手のスマホに移す)も、あなたが思っているほど難しくありません。
2〜3 個の YubiKey を買い、別々の場所に置いておきましょう。1つ失っても、締め出しを食らうことを防げます。
Face ID、指紋。あなたのデバイスが対応しているものはすべてオンにします。パスワードマネージャー、銀行アプリ、すべての機密アプリに設定してください。
これは第3の認証です:あなたが誰か。誰もデータベースからあなたの顔を盗むことはできません。
「あなたのお母さんの旧姓は何?」のような質問は、Google で 10 秒で調べられます。
セキュリティの質問にはランダムな答えを作り、パスワードと一緒にパスワードマネージャーに保存します。セキュリティの質問には決してありのままに答えないでください。
Mac では FileVault、Windows では BitLocker です。
ノートパソコンが盗まれた場合、ディスク暗号化があれば泥棒が手に入れるのは、あなたのすべてのファイルではなく一枚の“レンガ板”です。2 分で有効化でき、バックグラウンドで静かに動きます。
あらゆる「スマート」デバイスは、本質的にはネットワークに接続されたコンピュータで、マイクを備えてあなたの家に座り込んでいます。
それらは継続的にデータを収集し、絶えずサーバーへ送り返し、さらにしばしばハッキングされます。あなたが Amazon で買ったあの Wi-Fi の空気品質検知器には、あなたの正確な GPS 座標を知る必要はありません。
ネット接続されたデバイスが少なければ少ないほど、ネットワークの入口も少なくなります。
Signal はメッセージをエンドツーエンド暗号化します。誰も(Signal 自身、あなたの通信事業者、いかなる傍受者も)あなたのメッセージを読み取れません。
一般的なSMSや iMessage ですらメタデータを保存します(誰と誰がいつ話して、どれくらい話したか)。権限のある人なら、分析ができます。
メッセージの自動消失機能をオンにすることをおすすめします。90日がよいデフォルトです。そうすれば、古い会話がそのままリスクになりません。
Brave は Chromium をベースに構築されており、すべての Chrome 拡張が使え、体験もほぼ同じです。
理由は、それが独自のインデックスを持っているからです。DuckDuckGo のように、本質的に Bing の“スキン”ではありません。
ある検索結果がいまいちなら、前に「!g」を付けるだけで、そのクエリを Google にリダイレクトできます。
月 3 ドルのプレミアム版。無料でプロダクトになるより、課金して顧客になるほうがいいでしょう。
各加盟店に対して新しいカード番号を生成します。各カードに利用上限を設定でき、請求先の氏名や住所は適当に入れて構いません。
もしその加盟店が侵害されたとしても、攻撃者が手に入れるのはあなたの実際の金融上の身元ではなく、使い捨てのカード番号だけです。つまり、加盟店があなたの本当の住所以外を知らないことにもつながります。
Virtual Post Mail のようなサービスが、あなたの代わりに実際の郵便物を受け取り、スキャンしてからオンラインで確認できるようにします。あなた自身が、どれを細断するか、どれを転送するかを決められます。
これで、毎回チェックアウトのたびに本当の自宅住所をさまざまなネットショップに渡す必要がなくなります。
メールアドレスは偽装するのが非常に簡単です。AI がある今、フィッシングメールは本物のメールとまったく同じに見えるようになっています。
リンクをクリックするより、自分で手動でサイトを開いてログインしてください。
また、メール設定の自動画像読み込みはオフにすることをおすすめします。埋め込まれた画像は、あなたがメールを開いたかどうかを追跡するために使われます。
VPN はあなたの IP アドレス(デバイスと位置を識別する唯一の番号)を隠し、接続したサービスがあなたが誰か分からないようにします。
24 時間つけっぱなしにする必要はありません。公共の Wi-Fi や、あまり信用できないサービスにアクセスするときにオンにしましょう。
DNS は基本的に、あなたのデバイスがウェブサイトを探すための電話帳です。このレベルでブロックすることは、広告やトラッカーが読み込まれる前にそれらを叩き落とすことを意味します。
あなたのデバイス上のすべてのアプリとブラウザに有効です。
これは、あなたのコンピュータ上のどの App が通信しているのか、どれくらいのデータを送っているのか、どこに送っているのかを表示します。
通信の戻りデータが想定を超えている App は疑わしく、たいていアンインストールすべきです。
現時点では Mythos は Project Glasswing の防御側が掌握しています(Anthropic、Apple、Google など)。
しかし攻撃者はすぐに Mythos レベルのモデルを手に入れるはずです。おそらく 6 か月以内、もっと早いかもしれません。だから今、セキュリティ強化が緊急の課題です。
今から 15 分で設定すれば、後々の面倒なことが山ほど省けます。