ChatGPT でセキュリティを強化：2023年を変えていく３つの視点とは？

3 Ways ChatGPT Will Change Infosec in 2023

2023/01/28 DarkReading — 2022年11月30日に OpenAI が、ChatGPT をテスト用に公開した直後から、世界中に嵐を巻き起こった。AI や ML の「革新」に満足できなかった業界にとって、この反応は非常に重要なものだった。情報セキュリティにとって AI が、まさに革命的なものであることが、ようやく明らかになった瞬間だと、私は捉えているが、その可能性に期待してきた多くの人々も同様だと思う。

というのも、あらゆる種類のブラックハット・ゲームを、AI が変えていく方向性について、すでに数え切れないほどの事例が存在するからだ。NYU の Brendan Dolan-Gavitt 教授は、最初の PoC エクスプロイトとして、バッファ・オーバーフローの脆弱性を、ChatGPT で悪用してみせた。その他にも、マルウェアの瞬時での作成や、文法的に正しく説得力のあるフィッシング・メールの作成にも成功している。

サイバー攻撃における AI の武器化は目新しいものではないが、私が ChatGPT で最も興奮したのは、情報セキュリティの最大のギャップを、すなわちサイバーセ・キュリティのスキル (専門分野) の幅と深さの両方における人材不足を、解消していく可能性が見出だせたことである。その詳細を明らかにしていくために、2023年の情報セキュリティを ChatGPT が変革するための、３つの方法を紹介する。

クラウド・ソーシングによる脅威インテリジェンスの推進

クラウド・ソーシングによる脅威情報の収集は、情報セキュリティ業界にとって重要な課題となっている。クラウド・ソーシングを利用することで、同じ業種に属する各企業において、何が起きているのかを把握することが可能となる。しかし、残念なことに、最大の障害となっていたのは、インテリジェンスを共有するための組織間の信頼性の欠如である。

この問題を解決するために、さまざまな業界の ISAC (Information Sharing and Analysis Center) が活動してきたが、その成果は多様である。今後において ISAC は、自然言語インターフェイスを備えた ChatGPT モデルを繰り返して利用し、グループ内の暗黙の信頼に基づいて ISAC 構成員が提出するログデータを、フィードすることが可能となる。

ISAC は ChatGPT を使用して、悪意があると分類された IP アドレス／ドメインなどを関連付けられることになる。その結果として、ISAC の構成員が脅威から身を守るために実施すべき、IDS (Intrusion Detection Service) ルール・セットの作成が可能となる。また、それぞれの ISAC は、自らが代表する業界の、全体的なリスク・ポストを把握することができるようになる。

既存のリソースでより多くのことを行う

不透明な経済情勢により、それぞれのセキュリティ企業は、雇用を凍結せざるを得ない状況に直面し、より多くの生産性を既存のリソースから引き出そうとしている。したがって、１人のアナリストが多くの仕事をこなす必要性が生じているが、このような場合においても、ChatGPT は極めて有効である。

ジェネラリストやエントリー・レベルのスタッフは、アラートや検知について ChatGPT に説明し、その内容を解読してもらうことで、トリアージ・プロセスを迅速に開始できるようになる。具体的な例としては、実務担当者が毎日のように行っている、悪意の疑いのあるコードの解読が支援される。この作業に対して、通常では１時間以上を費やしてきたが、いまでは数秒で完了する。

ChatGPT は、インシデント・レスポンスにも変革をもたらす可能性を秘めている。セキュリティ・チームは、既存のモデルと自然言語処理を使用して、インシデントに関する全ての利用可能なデータを入力し、対応する際に必要となる根拠を説明できる。ChatGPT は、個々の侵害における仮設に対して、直ちに証明／反証するだろう。現時点において、インシデントを完全に解決するためには、インシデント・レスポンスのリード／エンジニア／数人のアナリストが、数日をかけて作業する必要がある。将来的には、アナリストが全く不要なプロセスになると予見される。

マルウェアとの駆け引きを新たなレベルへ

いま、敵対者たちは１億個／年のペースで、新しいマルウェア・サンプルを生成している。ただし、それらの全てにおいて、手動でコーディングする必要があるため、シグネチャ検出の観点では、まだ有限であり、管理も可能な量となる。しかし、ChatGPT を使えば、ハッカーたちは「私がやろうとしていることはコレだ、私が侵害した OS はコレだ」と言いさえすれば、１つのマルウェアを何十万回も繰り返して生成できる。

そうなると、検知エンジンの ML モデルには、より高速で再計算する必要性が生じる。はるかに大きなデータセットに対して作業するため、はるかに複雑になる。幸いなことに、ChatGPT はリバース・エンジニアリング・プロセスを強化し、マルウェア対策に有利な環境を提供する。

たとえば、リバース・エンジニアリングにとって重要な課題は、一般的なファイル名で作業するため、それが何処で発見されたのかという、必要なコンテキストが提供されない点にある。そのため、そのファイルが作られたシステムを特定するために、より多くの手作業が必要となる。バイナリ・アセンブリには、最終的な結果に著しい変化をもたらす、とても小さな変更が存在する。そのシステムで用いられているのは、リトル・エンディアンなのか？ それともビッグ・エンディアンかのか？ その答えにより、機械語を読む方向 (前方／後方) が決まっていく。

このような作業は、コンテキストが存在しなければ、試行錯誤が必要となる。ChatGPT は、これらの試行錯誤を猛スピードで実行し、リバース・エンジニアに最終的なアセンブリ言語を渡し、そこから処理させることが可能となる。さらに ChatGPT は、アプリケーションが何をしているのかを、自然言語で伝えることができる。さらに重要なことは、ChatGPT が何十万ものバイナリ・サンプルを分析し、アナリストに洞察を提供することで、これら全てを大規模に行えるという点にある。

また、一般的なネズミ算式の攻撃に、反撃することも可能だ。たとえば、マルウェアには、ネストされたループなどのアンチ・リバース・エンジニアリング技術が含まれていることが多い。したがって、リバース・エンジニアたちが、何が起こっているのかを把握し、最終状態を追跡することが非常に難しくなっている。ChatGPT は、人間よりも遥かに高速で、それらを把握できる。また、マルウェアの遺伝子コードを解析し、コードの再利用の可能性を確認することで、作者のフィンガープリントを、より迅速に特定することも可能だ。

長期的な意味合い

AI において、新しい進歩が前面に出てくるたびに、それが人間やその仕事に取って代わるのかどうかという懸念が、どうしても湧き出てくる。それが、ChatGPT により実現されるとは思わないが、よりパワフルな情報消費者へと、私たちを変えていくことに間違いはないだろう。しかし、ChatGPT により、私たちはパワフルな情報消費者になれると捉えよう。CISO が ChatGPT にリスク登録に関する情報を提供し、その返信として、ポリシー／手順／インシデント対応計画などの、それぞれの環境に合わせた情報を得る姿が目に浮かぶ。

現時点における ChatGPT は、研究段階のプレビューに過ぎないが、私は、セキュリティ専門家たちの働き方に革命をもたらすと期待する、業界の仲間たちの興奮を分かち合っている。

ChatGPT に関する記事も、これで６本目です。前回の 2023/01/25 「ChatGPT がもたらす変化：Social エンジニアリング から Prompt エンジニアリングへ」に出てきた、”Prompt エンジニアリング” という言葉が、頭に焼き付いて離れません。このブログの作成にも利用できないものかと、先日から ChatGPT を触り始めましたが、上手い質問の作り方が、掴めていないという状況です。でも、まぁ、触ってみないことには、何も分からないので、暇をみて、いろんな質問を投げかけているところです。以下は、これまでの ChatGPT 関連の記事です。

2023/01/24：ChatGPT 問題： AI を騙して悪用するのは簡単だ
2023/01/18：マルウェア開発：継続的な変異により検出が困難になる
2023/01/13：人工知能の倫理をバイパスするロシアのハッカーたち
2023/01/06：フィッシング／BEC／マルウェア開発に利用できる？

新しいカテゴリ AI/ML を作りましたので、よろしければ、それらも、ご参照ください。