米連邦巡回区控訴裁判所は 5 日、特許の出願書類に人工知能 (AI) を発明者として記載することはできないとする連邦地裁の判断を支持した (裁判所文書: PDF、 The Verge の記事)。

この裁判は Stephen L. Thaler 氏が開発した AI システム「DABUS」を唯一の発明者として特許を出願し、米特許商標庁 (USPTO) が受理しないのを不当だとして訴えているものだ。1 審のバージニア東部地区連邦地裁では昨年 9 月、議会が意図する発明者は自然人に限られており、いずれはテクノロジーが進歩して人工知能が発明者として認められるレベルに達するかもしれないが、それを決めるのは議会であるとの判断を示していた。

控訴裁判所でも特許法が発明者として認める「individual(s)」が自然人に限られることに議論の余地はなく、法律の条文が明確に答えを示している場合にそれ以上の分析を行うことはないと指摘。Thaler 氏は南アフリカで DABUS の発明が特許として認められたとも主張したが、外国の特許局が米国の法律を解釈したわけではなく、その判断が結論に影響することはないとして、連邦地裁の判断を支持した。

Twilio は 7 日、フィッシングで奪われた従業員の認証情報による不正アクセスで少数の顧客に関連する情報が漏洩したことを発表した (Twilio のブログ記事、 The Verge の記事、 HackRead の記事、 The Register の記事)。

フィッシングは SMS でログインの期限切れやスケジュールの変更などを知らせ、偽サイトの偽サインインページに誘導して認証情報を入力させるというもの。偽サイトは「Twilio」「Okta」「SSO」といった単語を組み合わせたドメイン名だったという。このようなフィッシング SMS は従業員や元従業員から報告されており、幅広く送信されていたようだ。発信元は米国の携帯電話キャリアを使用しており、電話番号を含むデータを従業員の名前と一致させる技術も持っているとみられる。

Twilio では同様のフィッシング攻撃を受けた他社とも協力して携帯電話キャリアに送信を止めるよう働きかけたほか、レジストラントやホスティングプロバイダーに偽サイトを停止するよう働きかけたが、攻撃はキャリアやホスティングプロバイダーなどを切り替えて続けられた。そのため、攻撃者は組織化されて高度な技術を持っていると考えられるとのこと。

Twilio が不正アクセスに気付いたのは 8 月 4 日。セキュリティチームが問題確認後に侵害された従業員のアカウントからのアクセスを無効化し、フォレンジック企業にも調査への協力を依頼したという。データにアクセスされた顧客には個別に連絡しており、Twilio から連絡がない限りは影響なしと考えていいようだ。日本では KDDI ウェブコミュニケーションズが Twilio の代理店となっているが、8 月 9 日 10 時 30 分時点の調査の結果では同社を通じて契約したアカウントに影響を受けたものはないそうだ。

なお、Cloudflareも同様の攻撃を受けて従業員がフィッシングに引っかかったが、同社は全従業員に物理的なセキュリティキーを発行しており、アプリケーションへのアクセス時に必須としていたことで難を逃れたとのことだ (The Cloudflare Blog の記事)。