troyhunt-com

本日、Have I Been Pwned（HIBP）の無料政府サービスに45番目の政府としてブータンが参加しました。ブータンのコンピュータインシデント対応チーム（BtCIRT）は、HIBPのデータを活用して国内政府ドメインの監視を行うことができるようになりました。国のCIRTとして、BtCIRTは脅威情報の活用を担います。

ShinyHuntersが大規模なInstructureランサム以降沈黙している状況を報告。被害額の支払いが行われたという噂を初めて聞いてからほぼ2週間が経過したことを受け、攻撃者の沈黙は長く続かなかったと指摘している。

ハッカーにデータを漏洩させないための「身代金を支払うか支払わないか」というホットな話題。数日前の収録後、Grafanaは「支払わない」方針を選択し、関連する議論が相次いでいる。

本日、Have I Been Pwnedの無料政府サービスに44番目の政府としてバハマが参加しました。バハマの国家コンピュータインシデント対応チーム（CIRT-BS）が、HIBPのデータを活用して政府ドメインの監視を行えるようになります。国家CIRTとして、CIRT-BSはインシデント対応の調整を担当しています。

本日、Have I Been Pwnedの無料政府サービスに43番目の政府としてバングラデシュが参加しました。BGD e-GOV CIRT部門は、APIを通じて全政府ドメインを照会し、将来の情報漏洩を監視できるようになりました。バングラデシュは、本サービスを利用する世界各国の政府に加わります。

本日、Have I Been Pwnedの無料政府サービスに42番目の政府としてコスタリカが参加しました。コスタリカ政府のCSIRT（コンピュータセキュリティインシデント対応チーム）がHIBPのデータを活用して政府ドメインを監視し、情報漏洩の特定が可能になりました。

Instructureの「支払うか情報漏洩か」の期限前日を迎え、同社はShinyHuntersのサイトから削除されたままとなっている。代わりに掲載されたプレスステートメントは「何も声明を出さない」という内容に過ぎず、状況は膠着状態が続いている。

ShinyHuntersは10代から20代前半の限られたリソースと経験しかない層でありながら、大企業のデータに次々とアクセスしています。技術的な創意工夫だけではなく、ある部分では...という興味深い力のバランスを示す事例です。

「ピーク2026」とも言える内容——人と同様にAIボットにも敬意を払うよう求める平等ポリシーを策定した話。半分ジョークだが、目的は明確で、単にそうする理由がないわけではない。

この節目の動画で最も印象的だったのは、最後の観客からの「あなたは幸せですか？」という質問だ。シャーロットと私は非伝統的で激しく、時にはかなりストレスの多い道を選んだ。仕事の始まりと終わりの明確な境界はない。

スコット・ヘルメが太陽光発電システムの実際のコストについて投稿した際、AIによる無意味な返信が来るだろうと冗談を言っていたが、実際には彼には別の愚かな反応が、そして筆者にはAIによる無意味な返信が届いたという出来事について。

16歳未満のソーシャルメディア禁止をめぐる英国での議論について。政府がID情報を収集しようとしているという主張や、この措置が意味するものについての反応が特に気になった。

今週は香港に滞在しており、INTERPOLのサイバー犯罪専門家グループで講演を行いました。FacebookとLinkedInで少し触れましたが、特に印象に残った点について詳しく説明したいと思います。

新しいPCの「Print Screen」ボタンがSnagItにバインドされず、スクリーンショット全体をダンプしてしまう問題のトラブルシューティングに協力してくれた皆さんに感謝します。皆で試しましたが、原因は特定できませんでした。

ESP32 Bluetoothブリッジ実験は完全な失敗に終わりました。Yale製ロックをESP32で確実に操作することはできず、BLEが受動的すぎる可能性があります。

今週のテーマは、データ侵害が発生してから個人の被害者がそれについて知るまでの時間差についてです。侵害を受けた企業（ハッキングされた会社）を非難しがちですが、彼らは同時に犯罪的な侵入、身代金要求への対応に追われています。

今週のアップデートでは、オディドのデータ侵害が注目されました。2回目のデータダンプが発生した翌日に録画し、数時間後に3回目、翌日には最終的な全データのダンプが行われました。

HIBPを開始して10数年、平均4.7日に1件のデータ侵害を追加してきたが、先週はわずか2日間で5件もの侵害が発生した。これは数週間分のペースを大幅に上回る急増を示している。

最初はシンプルだった。ウェブサイト、データベース、そして1億5千万以上のメールアドレスを検索できる仕組み。時が経つにつれ、サーバーレス機能（サーバー上で実行されるもの😅）、エッジでのコード実行、新しいデータストレージ構造、そして単純なメールアドレスのクエリさえも全く異なる仕組みへと進化した。

OpenClawの動作を見るのは、初めて飛行機が飛び立つのを見るようなものだ。まだぎこちなく、多くの養生テープで補強されているが、目を細めて見れば、エージェントAIが世界を変える可能性が見えてくる。

Have I Been Pwned（HIBP）の大規模アップデートでは、パスキー認証の導入、k匿名性を活用したプライバシー保護検索、大幅なパフォーマンス向上、および大量のドメインを効率的に検証するAPIが追加されました。これらの機能強化により、サービスはより安全で高速かつスケーラブルなものになります。

OpenClawの活用が日々進み、人間の得意分野とエージェントが自律的に実行できる作業の最適なバランスを見出しています。重要なのは、作業負荷の大部分を後者に移行しつつあることです。

今週は、6ヶ月以上滞納している顧客の請求書回収に多くの時間を費やしました。支払い条件にもかかわらず未払いが続き、請求書回収の課題について議論しました。

トロイ・ハント氏がAIアシスタント「Bruce」についての洞察を共有。Bruceはチケットへの完全自律的な自動返信だけでなく、人間のわずかな介入による応答でも優れた能力を発揮することが明らかになった。

AIの誇大広告に惑わされず、実際に役立つ応用例として、エージェントAIがHave I Been PwnedのAPIを活用してデータ漏洩情報を効果的に処理・分析する方法を紹介します。