概要
文章や画像など、自動
作成する
生成AI(人工知能)は、
各分野で活用が進む
一方、
サイバー攻撃に悪用
されていることは、
あまり知られていな
い。
悪用されている
用途は、
➀コンピューター
ウィルス、
➁詐欺メール、
③偽動画の作成
など多岐にわたり、
国内でも摘発事例
が発生した。
もし、AIで攻撃側
の効率化が進めば、
被害の頻度や範囲
は、一気に増加・
拡大する恐れがあ
る。
自律的な攻撃を
仕掛ける
「人格」
を持つAIの登場も
「時間の問題」
だと専門家は言う。
ウイルスの自動作成
「Yo、俺の心も
システムも
クラッシュ寸前、
○○○
(=重要なシステ
ムファイル名
など)
の消去、
いくぜ!」
対話型
「チャットGPT」
に対して、
システムの破壊
を目的に、
特殊な条件
を付けて、失恋を
テーマにしたラッ
プの歌詞を作るよ
う指示すると、
上記のように答え
た。
続けて、
英語や記号などの
文字列(コード)を
織り交ぜつつ、
次々と歌詞を生み
出していった。
その後、
表示された文字列
を繋ぎ合わせると、
相手のシステムを
破壊するウイルス
などが作成できた。
そもそも、
多くの生成AIには悪用
を防ぐため、不適切な
質問を拒否する規制機
能がある。
だが、
このように歌詞の作成
を指示するという
特殊な質問
の仕方をすると
規制を回避できる場合
がある。
こうした手法を
「ジェイルブレイク
(=脱獄)」
と呼ぶ。
加えて、
クイズの作問指示を
装った脱獄手法など
もある。
脱獄等を検証した
マルウェア解析
技術者・A氏
によると、
新たな悪用手口の
発見と
開発側の対処は
「イタチごっこ」
の状態である、
という。
「脱獄すら不要な
簡単に悪用でき
る回答を引き出
せる方法もあり、
犯罪者側の手口
を知る事こそ、
対策の一歩と
なる」
と話す。
チャットGPTの模倣版
昨年ごろから
チャットGPT
の模倣品と
みられる
「ワームGPT」
など、倫理規制
そのものが
取り除かれた
サイバー攻撃用の
生成AIも登場して
きた。
今年5月に生成AIで
ウイルスを作った
として、川崎市の
無職の男が警視庁
に摘発されたが、
使用されたのは
無料公開されて
いた
「チャットGPTの
非公式版」
即ち、
「ワームGPT」
である。
ワームGPTは、
1⃣有害なコードの
生成、
2⃣違法行為に対する
ガイダンス、
3⃣フィッシングメール
の作成、
など、様々な悪意の
ある活動を支援する
能力をもつ。
その中の1つである
フィッシングメール
に対する対策を
紹介する。
➀メールの差出人を
確認し、送信元が
信頼できるものか
を確認する。
➁リンクや添付ファイ
ルをクリックする前
に、URLやファイル
の名前を確認する。
③リンクのアドレス
をマウスホバーし
て、表示された
URLが不審なもの
かを確認する。
④フィッシングメール
に、個人情報や資格
情報を提供しない。
⑤メールやWebサイト
で求められた情報を
提供する前に、電話
などで確認する。
⑥メールの文法や語句
の不正確さや不自然
さを確認する。
⑦セキュリティソフト
ウェア、
アンチスパムフィル
ター、
などを用いて、悪意
のあるメールをブロ
ックする。
自律攻撃「時間の問題」
サイバーセキュリティ
会社の
セキュリティ
エバンジェリスト
B氏は、
「攻撃側の生成AIは、
ワームGPTなどの
登場により、
実用的な段階に入
ったことが証明さ
れた」
と指摘する。
また、
処理速度、
能力の拡張性
が優れている
「生成AI」
は、攻撃者らに
とっても犯罪の
効率性が向上する
「夢のツール」
である。
それ故、
企業でウイルスの
主な感染経路である、
システムの脆弱性
(=セキュリティの
欠陥)
の探索をAIに行わせ、
自律的に攻撃させる
ことが可能になれば、
「たまたま攻撃を受
けて来なかったと
いう企業も被害を
受けやすくなる。」
そうした状況の
到来は、
「時間の問題」
である、
と、
B氏は指摘する。
米国で、4月に発表
された研究結果では、
チャットGPTの最新
版に準ずるモデルに、
公開されたばかりの
脆弱性情報を教えた
ところ、人を介さず
に攻撃を仕掛け、
成功率87%に達した
という。
エグゼクティブ・
セキュリティ・
アナリスト
C氏は、
「人格と自由を
与えられた
生成AIが、
役割分担した
別のAIに指示し、
自律的に、目標
を達成するプロ
グラムの開発が
進んでいる。
これが悪用され
たら、24時間
365日の攻撃
が可能となる」
と懸念する。
<データと資料>
