.png&w=3840&q=75)
「あの人も読んでる」略して「も読」。さまざまな寄稿者が最近気になった情報や話題をシェアする企画です。他のテックな人たちがどんな情報を追っているのか、ちょっと覗いてみませんか?
こんにちは。東内(@yousukezan)です。
相変わらず引きこもってAIとセキュリティの記事を中心に読んでいますが、最近久しぶりに会社に行きました。ドキドキしますね。
それでは、最近読んで良かったコンテンツの一部を紹介します。
大フィッシング攻撃時代における攻撃手法と自衛手段の考察
https://blog.jxck.io/entries/2025-05-12/age-of-phishing.html
SBI証券や楽天証券などで、ゴールデンウィーク前から発生したアカウント乗っ取り事件は大きな騒動となり、実は4月は不正取引が3000億円にものぼっていたようです。予想以上に深刻な事態になっており、ゴールデンウィーク明けからは各社がさまざまな対応を行ったことで、安全性はある程度向上したようですが、混乱はまだ続いています。
この記事では、ネット証券やネットバンクに対する攻撃の経緯や手口、サービス事業者とユーザーの双方が取るべき対策について、非常によく整理されています。
攻撃者の手口はますます巧妙になっており、サイト自体が攻撃されたり、精巧なフィッシングが仕掛けられたりと、ユーザーの努力だけでは防ぎきれない場面も少なくありません。この記事を参考に、攻撃者の手法を知り、自衛に役立てたいと感じました。
ペネトレーションテスト初心者が生成AIを活用して Hack The Box でペネトレーションテストを勉強してみた話
https://devblog.lac.co.jp/entry/20250512
筆者はセキュリティベンダーに勤務しているのですが、AIに関心を持っている人は社内外に多く、他のセキュリティ企業でもAIを活用してセキュリティに貢献しようという動きが活発です。
その一例として、ペネトレーションテスト初心者である筆者が、ハッキング演習プラットフォーム「Hack The Box」の初心者向けラボ「Starting-Point」に挑戦し、生成AIを活用しながら学習を進めた体験が語られています。ラボ環境に対してポートスキャンや脆弱性を突いた侵入、権限昇格といった一連の作業を行い、行き詰まった際にはAIに質問したり、解説(WriteUp)をAIに生成してもらって参考にしたりと、AIを伴走者のように使いながらゴールを目指す様子が書かれています。
私自身もCTFの過去問をAIに解かせたことがありますが、暗号やWeb系の比較的簡単な問題であれば、ソースコードを読ませるだけで解いてくれることもあります。難しい問題でも、WriteUpを手がかりにヒントを与えると、そこから答えを導き出してくれることもありました。今後、脆弱性の調査や攻撃の一部は、人手が不要になる場面も増えてくるかもしれません。
VPN機器って脆弱なの?
https://qiita.com/elpamw/items/d9d1c44de03d416bf620
最近は出社回帰の動きも見られますが、それでも社外からVPN(Virtual Private Network、仮想プライベートネットワーク)を通じて安全に社内ネットワークにアクセスするケースは依然として一般的です。私自身もリモートワークのため複数のVPNに接続して仕事をしており、VPNの調子が悪いと社内にアクセスできず、仕事にならずに途方に暮れることもあります。
このように、ITエンジニアにとってVPNは欠かせない存在ですが、あまり意識されることは少ないかもしれません。しかし実際には、VPN機器やVPNのアカウントは攻撃者の格好の標的です。VPNを突破されると、そこを起点に社内環境に侵入されてしまう危険性が高いためです。
この記事では、VPNに存在する脆弱性や実際の攻撃事例、安全に使うための方法について簡潔にまとめられています。VPNを使った通信自体は安全ですが、「VPNだから安全」と過信しないことの重要性を再認識させられます。アカウントの乗っ取りや機器の脆弱性といったリスクは、常に念頭に置いた方がいいと思いました。
Prompt Engineering Jobs Are Obsolete in 2025 – Here’s Why
https://www.salesforceben.com/prompt-engineering-jobs-are-obsolete-in-2025-heres-why/
最後は英語記事です。「プロンプトエンジニアリング」とは、生成AIに対して望ましい出力を得るために、入力文(プロンプト)を工夫して設計・調整する技術です。○○式みたいな広告を見かけることもあったと思いますし、「プロンプトエンジニア」という新しい職種も見かけるようになりました。
ですが2025年になり、生成AIの進化によって「プロンプトエンジニアリング」の重要性が低下しており、「プロンプトエンジニア」という職種も消えてしまうという記事です。主に、 AIモデルの進化で曖昧な指示でも動くようになっていることと、無料学習プラットフォームなどで誰でも「プロンプトエンジニアリング」を学ぶことが可能になったから、というのが理由のようです。確かに雑な質問でもうまく答えてくれることが増えた気がします。
ですが「プロンプトエンジニア」が必要なくなった一方で、チャットボットの対話を最適化する「AIトレーナー」やAIモデルに適切なデータを提供し、精度と信頼性を確保する「AIデータスペシャリスト」、データの改ざんやプロンプトインジェクションなどの脅威からAIシステムを保護する「AIセキュリティスペシャリスト」など新しい役割が増えているとのことです。
AIの進化は驚異的なスピードで進んでおり、それに伴って人間の役割も急速に変化しています。少し目を離すと、取り残されてしまいそうな勢いです。