ChatGPTのアカウントが大量に盗まれた 社内情報が漏えいか

サイバー犯罪者は「ChatGPT」を攻撃の道具にしようと常に狙っている。フィッシングメールのもっともらしい文面作成がその一例だ。2023年6月には次の攻撃の芽が見えてきた。社内情報の漏えいに直接つながる危険な「攻撃」だ。

[畑陽一郎，キーマンズネット]

　セキュリティ企業のGroup-IBは、2023年6月20日、ChatGPTの認証情報が保存されたマルウェア感染PCを多数特定したと発表した。これは最悪の組み合わせだ。ChatGPTの助けを借りて業務を進めていた場合、ChatGPTに入力した文面や数値、プログラムが間接的に漏れてしまう。

ChatGPTのアカウントが幾つ漏れたのか

　Group-IBは自社の脅威インテリジェンスプラットフォームを使って、ダークWebに広がる違法なマーケットプレースを監視している。過去1年間で取引された情報窃取マルウェア（info stealer）のログから、ChatGPTの盗み出された認証情報を多数発見した。

　侵害されたChatGPTのアカウントの数は、2022年6月の74件から、2023年5月の2万6802件までほぼ一貫して増加していて、合計10万1134件に達した。

　攻撃に使われた情報窃取マルウェアは定番化しており、3種類のマルウェア（Raccoon Stealer、Vidar、Redline Stealer）だけで、侵害の97％を占めた。

2022年6月から2023年5月の間に情報窃取マルウェアによって侵害されたChatGPTアカウント数の推移（提供：Group-IB）

　漏えいした個人情報が扱われるのは、ダークWebのマーケットプレースだ。マーケットプレースで販売されている情報には、ログに含まれていたドメインのリストや侵害されたホストのIPアドレスに関するものも含まれる。

　Group-IBの脅威インテリジェンス部門は、IPアドレスなどの情報を分析することで情報窃取マルウェアに感染したデバイスが最も集中している国と地域を特定した。2022年6月から2023年5月にかけて、盗まれたChatGPTアカウントの数が最も多かったのはアジア太平洋地域であり、世界全体の40.5％を占めた。

2022年6月から2023年5月までの間に、ChatGPTの認証情報を保存したPC（情報窃取マルウェアが感染）が確認された地域の分布　アジア太平洋地域が40999件と最も多かった。国別ではインド、パキスタン、ブラジルの順番だ（提供：Group-IB）

高度なマルウェアではないが、被害は大きい

　情報窃取マルウェアは次のように動作する。まず感染したPCにインストールされたWebブラウザを狙う。Webブラウザに保存された認証情報や銀行カード情報、暗号ウォレット情報、Cookie（クッキー）、閲覧履歴などを収集し、これら全てのデータをマルウェアの運営者に送信する。加えて被害者のPCに関する詳細情報や、インスタントメッセンジャー、メールからもデータを収集する。

　ソフトウェア開発であれビジネスコミュニケーションであれ、仕事を最適化するためにチャットbotを活用する従業員が増えている。ChatGPTの標準設定ではユーザーからの問い合わせとChatGPTの回答の履歴を保存する。その結果、ChatGPTアカウントが不正アクセスされると、機密情報やセンシティブな情報が流出し、企業や従業員に対する標的型攻撃に悪用される可能性がある。

　標的型攻撃以外で使われる情報窃取マルウェアは、一般的にできるだけ多くのデータを収集するために、フィッシングなどの手段を用いてなるべく多くのPCに感染するように使われる。情報窃取マルウェアはプログラムとしては単純だが、犯罪者には十分役立つ。そのため、漏えいした個人情報の出所を調べると、このマルウェアが使われていることが多い。

ChatGPTを安全に使うにはどうすればよいのか

　ChatGPTを安全に使うにはどうすればよいのだろうか。パスワードを強化することはもちろんだが、それだけでChatGPTのアクセス権限を守るのは難しい。多要素認証（MFA）の導入がお勧めだ。MFAを有効にすると、ChatGPTにアクセスする前に、スマートフォンに認証コードを入力するといった作業が発生するため、ChatGPTのパスワードが漏えいしてもそれだけでは致命傷にならない。

　Group-IBのように脅威インテリジェンス情報を提供しているベンダーと契約を結ぶことも役立つ。ダークWebコミュニティーを可視化できれば、機密データや顧客情報が流出して販売されているかどうかを特定できるからだ。マルウェアに感染し、ChatGPTのアカウント情報が漏えいしていることに気が付かなければ、将来ユーザーが入力する情報も全て盗まれてしまう。

　犯罪者は盗み出した情報を販売することが多いため、脅威インテリジェンスを利用する戦術は役立つ。リアルタイムの脅威インテリジェンス情報が手に入れば、情報の流出が見つかった直後にプロアクティブな対策が取れる。影響を受けた個人に通知し、さらなる被害を防ぐためにセキュリティ体制を強化できるからだ。

　Group-IBのドミトリー・シェスタコフ氏（脅威インテリジェンス責任者）は次のように語る。

　「多くの企業がChatGPTを業務フローに組み込んでいる。従業員が機密情報を入力したり、botを使用して社内のプログラムコードを最適化したりしている。ChatGPTの標準設定では全てのやりとりを保持していることを考えると、犯罪者がアカウントの認証情報を入手すれば、機密情報の宝庫を奪われてしまうことになりかねない。当社はそのようなアカウントを迅速に特定するために、アンダーグラウンドコミュニティーを継続的に監視している」

　なお、Group-IBによれば、同社の脅威インテリジェンスプラットフォームは、業界でも最大級のダークWebのデータ・ライブラリを保存しており、欧州刑事警察機構（Europol）や国際刑事警察機構（INTERPOL）などの国際的な法執行機関が主導する世界的な捜査の積極的なパートナーだという。