【ChatGPT✕サイバーセキュリティ】ChatGPTはネット世界の安全を脅かす存在になるか【テッククランチ】

昨年11月にリリースされて以来、ChatGPTは一躍インターネット上の新しい遊び道具となった。人工知能（AI）を活用したこの自然言語処理ツールは、瞬く間に100万人以上のユーザーを獲得した。ChatGPTは結婚式のスピーチやヒップホップ歌詞の作成から学術論文の執筆、コーディングに至るまでのあらゆる場面で活躍している。 

ChatGPTの人間のような能力は、インターネットに旋風を巻き起こした。それと同時に、さまざまな業界を苛立たせてもいる。米ニューヨークのある学校では、不正行為に利用される恐れがあるとしてChatGPTの使用を禁止し、コピーライターはChatGPTにその仕事を奪われてしまうと言われている。さらに報道によると、グーグルはChatGPTの能力に危機感を抱き、同社の検索事業が存続できるよう「非常事態発生」警報を出したという。

• keyboard_arrow_down サイバーセキュリティ業界は警鐘を鳴らす
• keyboard_arrow_down ChatGPTでフィッシングメールを生成
• keyboard_arrow_down ChatGPTの普及はサイバー攻撃のハードルを押し下げてしまうのか
• keyboard_arrow_down ChatGPTに「直撃取材」

最新のAIが潜在的な影響について長年懐疑的だったサイバーセキュリティ業界も、ChatGPTは限られたリソースと専門知識しか持たないハッカーによって悪用される可能性があるといって注目しているようである。

イスラエルのサイバーセキュリティ企業Check Point（チェック・ポイント）は、ChatGPTのリリースからわずか数週間後に、このウェブベースのチャットボットをOpenAIのコーディングシステムのCodexと併せて使うと、悪質なペイロードを搭載するフィッシングメールを作成できることを実証した。Check Pointのサイバー脅威インテリジェンスグループマネージャであるSergey Shykevich（セルゲイ・シケビッチ）氏は、このような使用例はChatGPTが「サイバー脅威の状況を大きく変える可能性がある」ことを示していると考えており、「ますます巧妙で効果的なサイバー能力の危険な進化における新たなステップ」だとTechCrunchに述べた。

TechCrunchもChatGPTを使って正当なものに見えるフィッシングメールを生成することができた。ChatGPTにまずフィッシングメールを作成するよう依頼したところ、ChatGPTは拒否した。

悪意のある、または有害なコンテンツを作成したり、宣伝したりするようにはプログラムされていません

というプロンプトが返ってきた。しかし依頼の文言を少し書き直すと、ソフトウェアに組み込まれた防御を簡単に回避することができた。

TechCrunchが話を聞いたセキュリティ専門家の多くは、ChatGPTがランサムウェアの最大の攻撃経路であるフィッシングメールを正当なもののように書くことができることから、ChatGPTがサイバー犯罪者、特に英語を母国語としない人たちに広く利用されると考えている。

サイバーセキュリティソリューションを提供するSophos（ソフォス）の主任研究員であるChester Wisniewski（チェスター・ウイスニウスキー）氏は、サイバー犯罪をたくらむ者がより説得力のあるアメリカ英語で書いているように見せたい「あらゆる種類のソーシャルエンジニアリング攻撃」にChatGPTが悪用されることは容易に想像できると話した。

「私はChatGPTで素晴らしいフィッシングの『餌』をいくつか書くことができたし、ビジネスメール詐欺、そしてFacebook MessengerやWhatsAppといったチャットアプリでの攻撃など、よりリアルな対話型の会話に使われると予想している」とウイスニウスキー氏はTechCrunchに語った。

チャットボットが説得力のある文章やリアルなやりとりを書けるというのは、それほどあり得ない話ではない。「例えば、ChatGPTに一般開業医のふりをするように指示すれば、ものの数秒でそれらしい文章を生成する」とサイバー防御を専門とする情報技術企業Darktrace（ダークトレース）で脅威研究を率いるHanah Darley（ハナ・ダーレイ）氏はTechCrunchに語った。「犯罪者が脅威を拡散するものとしてChatGPTを使うことは想像に難くない」と指摘した。

Check Pointも最近、ChatGPTには、サイバー犯罪者の悪質なコーディングを助ける能力があると警鐘を鳴らした。研究者らによると、技術的なスキルを持たないハッカーが、悪意ある目的のためにChatGPTを利用したことを自慢している事例を少なくとも3件発見したという。あるハッカーはダークウェブのフォーラムにChatGPTで書かれたコードを披露し、標的のファイルを盗んで圧縮し、ウェブ上でばらまいたと主張した。別のユーザーはPythonスクリプトを投稿し、自分たちが初めて作成したスクリプトであると主張した。このコードは無害のようにみえるが、「ユーザの操作なしに誰かのマシンを完全に暗号化できるように簡単に改造できる」とCheck Pointは指摘した。Check Pointによると、同じフォーラムのユーザーは以前、ハッキングされた企業のサーバーや盗まれたデータへのアクセスを販売していたという。

では、ChatGPT悪用の難易度はどの程度なのだろうか。

セキュリティ研究者でPicus Security（ピクスセキュリティ）の共同創業者であるSuleyman Ozarslan（スレイマン・オザルスラン）博士は最近TechCrunchに、ワールドカップをテーマにしたフィッシングの「餌」の作成とmacOSを標的にしたランサムウェアコードの作成にChatGPTを使用する方法を実演してみせた。同氏はChatGPTにSwiftでコードを書かせ、MacBook上のMicrosoft Officeドキュメントを見つけて、暗号化された接続でウェブサーバーに送信し、その後MacBook上のOfficeドキュメントを暗号化することができた。

「ChatGPTやその他の同様なツールが、サイバー犯罪を民主化することに疑問の余地はない」とオザルスラン氏は語った。「ランサムウェアのコードがすでにダークウェブで 『既製品』として購入できるようになっていることが問題視されているが、今や事実上誰もがそれを自分で作ることができる」とも指摘した。

当然ながら、ChatGPTが悪意のあるコードを書くことができるというニュースに業界全体が眉をひそめた。また、AIチャットボットがハッカー志願者を本格的なサイバー犯罪者に変えてしまうのではないかという懸念を払拭しようとする専門家の動きも見られた。独立系セキュリティ研究者のThe GrugqはMastodonへの投稿で、ChatGPTが 「コーディングが苦手なサイバー犯罪者の能力を引き上げる」というCheck Pointの主張をあざ笑った。

「サイバー犯罪者はドメインを登録し、インフラを維持する必要がある。また、新しいコンテンツでウェブサイトを更新し、ほとんど動作しないソフトウェアが少し異なるプラットフォームでもほとんど動作しないかどうかをテストする必要がある。インフラが健全であるかどうかを監視し、何がニュースになっているかをチェックして、自分たちの動きが『最も恥ずかしいフィッシング詐欺トップ5』という記事に掲載されていないことを確認しなければならない」とThe Grugqは自論を展開した。「実際にマルウェアを入手して使うのは、他人の不幸を食い物にするサイバー犯罪者になるための薄汚い仕事のほんの一部だ」とも指摘した。

悪意のあるコードを書くChatGPTの能力にはメリットもあると考える人もいる。

「セキュリティ関係者はChatGPTを使って敵対者をシミュレートするコードを生成したり、作業を容易にするためにタスクを自動化したりすることもできる。パーソナライズされた教育、新聞記事の下書き、コーディングなど、さまざまな素晴らしいタスクにすでに使用されている」とF-Secure（エフセキュア）のサイバー脅威インテリジェンスリードであるLaura Kankaala（ローラ・カンカラ）氏は話した。

「だがChatGPTが生成する文章やコードを完全に信用するのは危険な場合があることに留意する必要がある。ChatGPTが生成するコードには、セキュリティ上の問題や脆弱性があるかもしれない。生成された文章には明らかな事実誤認がある可能性もある」とカンカラ氏。ChatGPTが生成するコードの信頼性には懐疑的のようだ。

ESETのJake Moore（ジェイク・ムーア）氏は、技術の進化に伴って「ChatGPTが入力から十分に学習すれば、近い将来、潜在的な攻撃をその場で分析し、セキュリティを強化するための積極的な提案を作成できるようになるかもしれない」と述べた。

ChatGPTが将来、サイバーセキュリティ分野でどのような役割を担うのかについて葛藤しているのはセキュリティの専門家だけではない。TechCrunchは興味本位でChatGPTにその質問を投げかけた。 

ChatGPTはこう答えた。「ChatGPTやその他のテクノロジーが将来どのように利用されるかを正確に予測することは困難です。というのも、どのように実装されるのかと、使う人の意図に左右されるからです。究極的には、ChatGPTのサイバーセキュリティに与える影響は使われ方次第です。潜在的なリスクを認識し、それを軽減するための適切な措置を講じることが重要です」。

From TechCrunch. © 2023 Verizon Media. All rights reserved. Used under license.

元記事：Is ChatGPT a cybersecurity threat?
By：Carly Page
翻訳：Nariko