ChatGPT Artificial Intelligence: An Upcoming Cybersecurity Threat?
2023/01/06 DarkReading — 人工知能 (AI) に秘められる可能性は、サイバー・セキュリティへの取り組み方を含めて、私たちの生活の多くの側面に革命をもたらす。しかし、それは、慎重に管理する必要がある、新たなリスクと課題も提示している。AI をサイバー・セキュリティに活用する方法の1つは、サイバー脅威を検知して対応できる、インテリジェントなシステムの開発を通じてとなる。これは、ある AI チャット・ボットからの返答であり、私が AI とサイバー脅威について書いてほしいと頼んだときのものだ。もうお分かりだと思うが、この世で一番人気の ChatGPT である。
2022年11月に AI 研究開発企業である OpenAI は、膨大なデータプールで訓練された InstructGPT モデルのバリエーションをベースに、ChatGPT (Generative Pre-trained Transformer) を導入し、クエリーに回答するものにした。このモデルは、膨大な量のデータから学習され、問い合わせに答えることができるものだ。現時点ではベータ版しか公開されていないが、一般のユーザーの間でも非常に人気が高い。OpenAIは、2023年に、上級バージョンである ChatGPT-4 を発売する予定だという。
ChatGPT が他の AI モデルと異なるのは、異なる言語でソフトウェアを書き、コードをデバッグし、複雑なトピックを複数の方法で説明し、面接の準備をして、エッセイの下書きまでできる点である。これらのトピックを学ぶために、人が Web 検索を通じて行うように、その種の作業を ChatGPT は容易にし、最終的な出力まで提供する。
AI ツール/アプリの波は、以前と比べて大きくなっている。以前にも ChatGPT は、AI アプリ “Lensa” や、テキストから画像をデジタル生成する “Dall-E 2” などで話題となってきた。これらのアプリは、使っていて気持ちが良くなる極端な結果を示すものである。そして、デジタルアートのコミュニティは、これらのモデルの訓練に使われた作品の、プライバシーや倫理に関する大きな懸念を引き起こした。アーティストたちは、自分たちの作品がモデルに使われることを快く思っていなかったが、アプリのユーザーが何の同意なしに、画像を作成できるようになったことに気づいた。
長所と短所
その他の最新テクノロジーと同様に、ChatGPT には利点と課題があり、サイバー・セキュリティ市場に大きな影響を与えるものになるだろう。
AI は、高度なサイバー・セキュリティ製品の開発を支援する有望な技術である。潜在的な脅威を、より迅速に特定するためには、AI/ML の幅広い活用が不可欠であると、多くの人々が考えている。ChatGPT は、サイバー攻撃の検知および、それに対する対応、組織内のコミュニケーション改善において、重要な役割を果たす可能性がある。また、バグバウンティ・プログラムにも利用できるかもしれない。しかし、技術あるところには、サイバー・リスクがあり、これは見過ごせるものではない。
コードの良し悪し
ChatGPT に対して、マルウェアのコードを書けと言っても、それに従うようなものは書かない。不適切なリクエストを特定するための、セキュリティ・プロトコルなどのガードレールが存在している。
しかし、この数日において、開発者はプロトコルを迂回する様々な方法を試し、望みの出力を得ることに成功してしまった。つまり、直接的なプロンプトを介してではなく、ボットに説明するほど詳細なマルウェアを書き込みの手順があれば、ボットはプロンプトに答え、オンデマンドで効果的にマルウェアを構築するのだ。
すでに Malware-as-a-Services を提供する犯罪グループが存在することを考えると、ChatGPT のような AI プログラムが生成するコードの助けを借りた攻撃者が、より迅速かつ容易に、サイバー攻撃を仕掛けることが予測される。ChatGPT は、経験の浅い攻撃者に対してもパワーを与え、これまでは専門家にしかできなかった、より正確なマルウェア・コードを書けるようになった。
BEC:ビジネス・メールの危殆化
ChatGPT は、電子メールやエッセイなどの、あらゆるコンテンツのクエリーに対して、返信することに優れている。したがって、BEC (Business Email Compromise) と呼ばれる攻撃手法と組み合わせた場合に、特に有効なものとなる。
BEC においては、攻撃者はテンプレートを用いて偽のメールを生成し、受信者を騙して盗むべき情報や資産を提供させる。
BEC の 検知には、セキュリティ・ツールが使われることが多いようだが、ChatGPT を使いこなす攻撃者であれば、AI の助けを借りて生成したメールに個別の内容を埋め込める可能性が生じるため、この種の攻撃の検知が困難になってくる。
同様に、フィッシング・メールの作成も容易になり、これらの攻撃メールと正規メールを区別するために重要な、誤字や書式の差異が消えてしまう可能性が生じる。
さらに、プロンプトに対して多様なバリエーションを追加できるため、「緊急性を持たせる」、「リンクをクリックする可能性の高いメール」、「ソーシャルエンジニアリングによる送金依頼メール」といった、恐ろしい依頼が可能になってしまうのだ。
以下は、私のプロンプトに対して、どのように ChatGPT が返答するかのを試したものだが、驚くほど素晴らしい結果が返ってきた。
これからどうする?
ChatGPT を上手に使えば、サイバー・セキュリティにおける多くのシナリオを変えることができる。
このツールを使って調査した私の経験や、一般の人々がオンラインで投稿している内容から、ほとんどの詳細な要求に対して、ChatGPT は正確であることが証明されているが、それでも人間ほど正確ではない。ただし、プロンプトを使えば使うほど、このモデル自体が鍛えられていく。
今後において、どのような用途に ChatGPT が使われるのか、また、その可能性はあるのかといった点が、興味深いところである。ひとつだけ確かなことは、セキュリティ上の問題が発生した場合に、この業界に待つことは許されないという点だ。AI による脅威は新しい問題ではなく、以前からあったものであり、今回は ChatGPT が、具体的な脅威を明確に示したというだけのことだ。セキュリティ・ベンダーが、AI が生み出す攻撃を検知するための、行動型 AI ベースのツールを、より積極的に導入していくことを期待している。
文中で参照されている、2022年11月30日に発行された OpenAI の ChatGPT: Optimizing Language Models for Dialogue ですが、かなりインパクトが有ったようで、各種メディアが一斉に記事化しています。そして、この DarkReading によると、ChatGPT は優秀なものに成長し、また、悪用も可能ということです。2022年1月に「AI / ML はサイバー・セキュリティにとって諸刃の刃」という記事をポストしていますが、今日の記事ほど、悪用の範囲や方法が明確に示されたのは初めてのことです。
IoT OT Security News 
You must be logged in to post a comment.