「ChatGPT」を使ったサイバー攻撃 正しく恐れるには

ChatGPTが成長を続け、サイバー攻撃者の友となる日が来た。こうした警告があふれている。実際のところ、現状はどうなっているのだろうか。何が危険なのだろうか。

[Matt Kapko，Cybersecurity Dive]

　「ChatGPT」の影響が消費者と企業の両方に波及する中、セキュリティ専門家は攻撃者による生成型AIの悪用に警戒心を抱いている。

　2022年11月にChatGPTがリリースされて以来、サイバーセキュリティに取り組むPalo Alto NetworksのUnit 42部門は、ChatGPTに関連する悪意のあるURLを毎日最大118件検出しており、関連する不正なドメイン取得は1万7818％に急増した。

　Palo Alto Networksは2023年4月20日のブログ記事で次のように述べている（注1）。「ChatGPTは史上最も急速に成長している消費者向けアプリケーションの一つだ。こうした人気の裏側で、ChatGPTはサイトに関連すると思われる文言やドメイン名を使用して利益を得ようとする詐欺師たちの注目を集めている」

ChatGPTが悪用される可能性はどの程度なのか

　ChatGPTに関連する最初の最も明らかな脅威はこうだ。巧妙なフィッシングメールの作成や一部のマルウェアコーディング、より効果的なターゲティングのためのデータの収集と文脈化だ。次は何だろうか。

　AI（人工知能）の動作から想像されるような自律的な攻撃メカニズムや高度なマルウエアコーディングといった、より驚くべき危険性はまだ現実のものとはなっていない。

　サイバーセキュリティの専門家向けのトレーニングを提供する(ISC)2のジョン・フランス氏（CISO《最高情報セキュリティ責任者》）は次のように述べた。「ChatGPTやその他の生成型AIがセキュリティの状況を根本的に変えようとしているというセンセーショナルな話がある。だが、私はまだそこまでの事態になっているとは思わない」

　2023年1月に実施されたBlackBerryの調査によると、ChatGPTがリリースされてからわずか2カ月後、IT専門家の大多数である約4分の3がChatGPTを潜在的な脅威と見なし、その技術についての懸念を共有した（注2）。回答者の半数以上が、2023年中にChatGPTが有効なサイバー攻撃に使われるだろうと予測している。

　懸念は多いものの、現在のところ、専門家はChatGPTが防御網を破壊することよりも強化することにより多くの貢献をしていると見ている（注3）。

　イギリスのサイバーセキュリティ企業Darktraceのジャスティン・フィア氏（レッドチーム・オペレーションを担当するシニアバイスプレジデント）は「私たちはChatGPTから生じる少数のネガティブな要素を強調する傾向がある」と述べた。

　「常に何かを悪用する方法を探す人がいて、それを避ける方法はない。私たちはそうした動きがすでに始まっていると仮定すべきだ」（フィア氏）

心配の種は尽きない

　Check Point ResearchとCyberark Softwareの研究者は（注4、注5）、攻撃者が2023年1月の早い段階でChatGPTを使って悪意のあるコードを書いていることを発見した。だが分析の結果、この段階のコードは初歩的なものと判断している。

　フランス氏によると「ChatGPTを使うことで、攻撃者はよりターゲットを絞った形で効果的なコードを書けるかもしれないが、この生成型AIツールは完全に機能するマルウェアをまだ書いたことがない」という。

　今のところ、脅威はより具体的で狭い範囲に限定されている。

　「特定の標的を念頭に置いている場合、攻撃対象が比較的有名であれば、生成型AIは対象についてかなり多くのことを知っているだろう。生成型AIのモデルは迅速に文脈を理解し、攻撃者が明確に認識していなかった攻撃の方向性を提供する可能性がある。それはある意味で、『ステロイドによって強化されたGoogle』のようなものだ」（フランス氏）

　攻撃者はChatGPTの問題解決能力を利用して、例えばファイアウォールにある特定のルートを学習したり、パッチが当てられていない脆弱（ぜいじゃく）性を特定して攻撃対象を決定したりすることも可能だ。

　「ChatGPTが世界中で『Log4Shell』のような地位を得る次のゼロデイ攻撃を起こす段階にはまだ達していないと考えている」（フィア氏）

　より大きな差し迫った懸念はデータマイニングに関連している。フィア氏によると、ChatGPTには大規模なデータセットの中からパターンを見つけ、それらの結果を他のデータセットのパターンと結び付ける能力がある。これが恐ろしい結果をもたらす可能性があるという。

　サイバーセキュリティの専門家は、ChatGPTが主として損害を与えるために使われるとみなしたがらないが、そうした可能性が排除されたわけではない。

　「少し過剰反応していると感じるものもあるが、私たちのこうした議論には価値があると思う。今こそ、このような議論をするために適した時期だ。AIが消えることはない以上、これは異なる国々間における新たな競争なのだ」（フィア氏）

出典：Threat actors can use ChatGPT to sharpen cyberthreats, but no need to panic yet （Cybersecurity Dive）

注1：ChatGPT-Themed Scam Attacks Are on the Rise（Unit 42）

注2：ChatGPT May Already Be Used in Nation State Cyberattacks, Say IT Decision Makers in BlackBerry Global Research（BlackBerry）

注3：ChatGPT prompts experts to consider AI’s mark on cybersecurity（Cybersecurity Dive）

注4：OPWNAI : CYBERCRIMINALS STARTING TO USE CHATGPT（CheckPoint）

注5：Chatting Our Way Into Creating a Polymorphic Malware（CyberArk）