ChatGPT に関する調査：IT リーダーの 51% がサイバー攻撃の中核になると回答

IT Leaders Reveal Cyber Fears Around ChatGPT

2023/02/03 InfoSecurity — BlackBerry の最新調査によると、ChatGPT が１年以内にサイバー攻撃の中核として成功すると、セキュリティ・リーダーたちの過半数 (51%) が予想していることが明らかになった。この、北米／英国／オーストラリアの IT 意思決定者 1500人を対象にした調査では、すでに ChatGPT が他国への悪意の目的で使用されている可能性が高いと、71% が推定していることも判明した。ChatGPT とは OpenAI が開発した人工知能 (AI) 言語モデルをチャットボット形式で展開し、ユーザーの質問に対して迅速かつ詳細な回答を提供するものであり、2022年末に製品化されている。

ChatGPT がもたらすサイバー脅威

ChatGPT の大きな可能性とは裏腹に、情報セキュリティの専門家たちが指摘するのは、マルウェアの開発やソーシャル・エンジニアリング詐欺などの攻撃を、脅威アクターたちが仕掛ける際に利用されることへの懸念である。また、オンラインでのフェイク情報の流布が、より迅速かつ説得力のある方法で行われるという懸念もある。

これらの懸念が、BlackBerry の最新レポートでが強調されている。各国の回答者は、ChatGPT が「良いこと」に使われること認める一方で、サイバー・セキュリティ上の潜在的な脅威として 74% が捉えているのだ。

このテクノロジーにより達成される悪用の形態として、IT リーダーがたち最も懸念しているのは、信憑性の高いフィッシング・メールの作成 (53%)／経験の浅いサイバー犯罪者の専門的スキルの向上 (49%)／フェイク情報の拡散 (49%) などである。

IT リーダーたちは、ChatGPT がフィッシング・メール作成に悪用されることに懸念を抱いているが、ある専門家は、すでにサイバー犯罪者が行っていることより、AI ツールが優れているとは限らないと警告している。

Recorded Future の Intelligence Analyst である Allan Liska は、「ChatGPT は必ずしも、この種の活動を得意としているわけではない。フィッシング・メールの作成に使用することも可能だが、フィッシング・キャンペーンを実施するサイバー犯罪者たちは、すでに優れたメールを書き、より創造的なフィッシング攻撃の方法を考え出している。また、マルウェアを作成することも可能だが、少なくとも現時点においては、優れたマルウェアを作れていない」と、InfoSecurity に説明している。

彼は、「この技術は常に訓練されていくため、いまの状況も変化していくだろう。実際のところ、２つの懸念がある。ChatGPT には、こうした悪意の活動を阻止するガードレールがあるはずだが、そのガードレールは簡単に破れてしまう。そして、最終的には、善意と悪意が揃って向上するが、それが、どのようなものになるのかは、まだ分からない」と付け加えている。

AI によるサイバー・ディフェンスの強化

この調査について、BlackBerry の CTO である Shishir Singh は、セキュリティ専門家が ChatGPT を活用することで、サイバー・ディフェンスが向上していくという、楽観的な見方を示している。

Singh は、「悪意の人々が ChatGPT を試していることは、よく知られている。そして、今年中にハッカーたちは、より優れた変異型マルウェアを作成するためのツールとして、あるいは、彼らのスキルセットを強化するためのツールとして、ChatGPT を効果的に使う方法を、より適切に理解するようになるだろう。サイバープロもハッカーも、どうすれば一番うまく活用できるかを、検討し続けるだろう。どちらが、より効果的に解決するのか、時間が示してくれるだろう」と述べている。

BlackBerry は、「この調査では、IT 意思決定者の 82％ が、今後の２年間において、AI を活用したサイバー・セキュリティへの投資を計画している。また、48％ が、2023年末までに、投資を予定している。つまり、ChatGPT のようなテクノロジーがベースとなる高度化した攻撃に対して、従来からのシグネチャ・ベースの保護ソリューションが。もはや有効とはなり得ないという懸念が、高まっていることを反映している」と述べている。

Singh は、「AI による脅威に対して、組織が積極的に戦っていくためには、予防／検出の能力の強化において、AI を活用することが不可欠になる。サイバー・セキュリティで AI を使用する主な利点の１つは、リアルタイムで膨大な量のデータを分析する能力である。現代のネットワークで生成される膨大なデータ量に、人間が追いつくことは不可能である。AI により、それらのデータを遥かに高速で処理できるため、より効果的に脅威を特定できる」と、InfoSecurity に述べている。

彼は、「脅威アクターが TTP (tactics, techniques, and procedures) を進化させるにつれ、サイバー攻撃は深刻かつ巧妙なものとなり、従来のセキュリティ対策は時代遅れとなる。AI が過去の攻撃を学習し、それを防御策に適応させることで、将来の脅威に対する耐性を高めることができる。高度に標的化され、検知が困難になることが多い APT (advanced persistent threats) を緩和するためにも、AI は極めて重要である」と付け加えている。

その一方で、プライバシーの専門家たちは、GDPR などのデータ保護規則に、AI モデルが違反する可能性について議論している。つまり、ChatGPT の基盤となるデータを収集する OpenAI の手法や、個人データを第三者と共有する方法などが、この議論に含まれている。

７本目の ChatGPT 記事です。この BlackBerry のレポートを参照するものは、他にもありましたが、もっとも詳しく書いていた InfoSecurity を選びました。なんとなくですが、ChatGPT の悪用に関する記事も、第一弾は出尽くしたという感じがします。

2023/01/28：ChatGPT でセキュリティを強化
2023/01/25：ChatGPT：Prompt エンジニアリングへ
2023/01/24：ChatGPT 問題： AI を騙して悪用するのは簡単だ
2023/01/18：マルウェア開発：継続的な変異により検出が困難になる
2023/01/13：人工知能の倫理をバイパスするロシアのハッカーたち
2023/01/06：フィッシング／BEC／マルウェア開発に利用できる？

新しいカテゴリ AI/ML を作りましたので、よろしければ、それらも、ご参照ください。