チャットGPTがサイバーセキュリティに突きつける新たなリスク
Skizzomat
サマリー:チャットGPTをはじめとする生成AIの登場で、産業界は湧き立っている。一方、生成AIはハッカーたちにも大きな武器となる。政府や企業は、みずからの利益だけを考えて生成AIを活用するのではなく、新しいテクノロジー... もっと見るが社会全体で正しく機能するように基準を用意しなければならない。 閉じる

チャットGPTはハッカーに新たな手段をもたらす

 2022年11月、オープンAIが革命的なAI言語モデルのチャットGPTをリリースした当時、何百万人ものユーザーがその能力に驚嘆させられた。

 ところが、多くの人が抱いた好奇心は早々に、このツールが悪人の企てを後押しするのではないかという深刻な懸念へと変わった。

 具体的には、チャットGPTは高度なサイバーセキュリティソフトウェアの侵害を可能にする新たな手段をハッカーにもたらす。2022年、データ漏えいは世界全体で38%増加した。この事実にただでさえ動揺している関連業界では、リーダーがAIの影響の拡大を認識し、対応に動くことが不可欠だ。

 解決策を練る前に、チャットGPTの普及によって生じる主な脅威を明らかにする必要がある。本稿では新たなリスクを検証し、サイバーセキュリティの専門家が問題に対処するためには、どのような訓練とツールが必要なのかを検討する。そして、AIの使用がサイバーセキュリティの取り組みに悪影響を及ぼさないようにするための、政府による監視を提唱する。

AIが生成するフィッシング詐欺

 言語系AIの初期のものは何年も前からオープソース化されてきたが、現時点ではチャットGPTが飛び抜けて進んでいる。とりわけ、スペルや文法、動詞の時制を間違うことなく非常にスムーズにユーザーと対話する能力は、チャット画面の向こう側に本物の人間がいるかのように思わせる。ハッカーから見れば、チャットGPTはゲームチェンジャーだ。

 FBIのインターネット犯罪報告書2021年版によれば、フィッシングは米国における最も一般的なIT脅威である。とはいえ、フィッシング詐欺の大半は、スペルミスやお粗末な文法、総じて不自然な言葉遣いがしばしば散見されるため、容易に見分けがつく。英語が母語ではない悪人によって海外から米国に送られたものであれば、なおさらだ。

 チャットGPTによって、世界中のハッカーたちが、ほぼ完璧な英語を使ってフィッシング活動を強化できるようになる。

 サイバーセキュリティを担うリーダーには、洗練されたフィッシング攻撃の増加に対する早急な対応と、実行可能な解決策が求められる。チャットGPTの生成物と人間の生成物を判別できるツール、特に、見知らぬ相手から受信する「コールドメール」に対応するツールを、自社のITチームに持たせる必要がある。

 幸いにも、「チャットGPT検出」のテクノロジーはすでにあり、チャットGPTと並行して発展していく可能性が高い。ITインフラがAI検出ソフトウェアを統合し、AI生成メールを自動的にスクリーニングしてフラグをつけるのが理想的だ。

 加えて、すべての従業員に対し、AIの助けを借りたフィッシング詐欺に特別な注意を向けながら、最新のサイバーセキュリティの意識向上と予防スキルの訓練、および再訓練を定期的に実施することが重要となる。

 そして、業界と一般市民の両方ともに、拡張するAIの能力にただ夢中になるのではなく、高度なAI検出ツールの開発を提唱し続けていく責任がある。

チャットGPTを騙して悪質なコードを書かせる

 チャットGPTは、コードやコンピュータプログラミング用ツールの生成に長けているが、悪質な目的やハッキング目的と判断したコードは生成しないようにAIがプログラミングされている。ハッキングコードを要求された場合はそのユーザーに対し、チャットGPTの目的は「倫理に関するガイドラインとポリシーを順守しながら、有益で倫理的なタスクを支援する」ことであると伝える。

 だが、チャットGPTの不正操作はもちろん可能であり、チャットGPTヘの促し方を十分に工夫すれば、悪人はAIを騙してハッキングコードを生成させることができるかもしれない。実際、ハッカーたちはすでにこの目論見を企てている。

 たとえば、イスラエルのセキュリティ会社チェックポイントは先頃、チャットGPTでマルウェアの再現を試していると主張するハッカーのスレッドを、有名なアンダーグラウンドのハッキングフォーラムで発見した。

 このようなスレッドがすでに一つ見つかっているならば、世界中のダークウェブでさらに多くが存在するのは間違いないだろう。サイバーセキュリティの専門家は、AIによるものか否かを問わず、増え続ける一方の脅威に対応するための、適切な訓練(継続的なスキル向上)とリソースを必要としている。。

 また、AIから生成されたハッキングコードをより効果的に見つけて防ぐために、サイバーセキュリティの専門家に独自のAI技術を装備させることもできる。世論はチャットGPTが悪人に与える能力について嘆きがちだが、同じ能力は善人も等しく利用できるのだ。

 訓練では、チャットGPT関連の脅威を防ぐ取り組みに加え、チャットGPTがサイバーセキュリティ専門家にとっていかに重要な武器となりうるかについても指導すべきだ。この急激な技術進化により、サイバーセキュリティ脅威が新たな段階を迎える中、AIによるセキュリティの可能性を検証し、遅れずついていくために新しい訓練を構築し、実施しなくてはならない。

 また、ソフトウェア開発者は、人間で構成されるセキュリティ・オペレーション・センター(SOC)向けに、チャットGPTをさらに上回る潜在能力を持つ生成AIの開発を目指すべきである。