KnowBe4 ブログ

    サイバーセキュリティの最新情報: ChatGPTの恐ろしい能力

    米国では昨年12月ころからAIチャットボット「ChatGPT」が、びっくりする能力が話題になっています。日本においても、ここに来て、日経電子版(日経XTECHをはじめ、様々な媒体がAIチャットボットやChatGPTについて記事として取り上げています。

    まず。「チャットボットって何?」と聞かれる方がいるかもしれませんので、ChatGPTに聞いてみました。画像1-Feb-03-2023-01-13-46-2401-AM

     ChatGPT

    チャットボットは、人工知能(AI)を使用してテキストチャット形式で人とコミュニケーションをするコンピュータープログラムです。ユーザーからの質問や要求に対して自動的に応答することができます。

    と答えてくれました。

    もう1つ、ChatGPTに「ChatGPTで何ができるの?」と聞いてみました。ChatGPTの答えは、

    ChatGPTはOpenAIによってトレーニングされた大規模な言語モデルです。
    以下のタスクなどが可能です:     

    • 自然言語生成:文章や要約、抽象的な概念の説明など
    • 質問応答:世界中の様々なトピックに関する質問に対して回答
    • 機械翻訳:様々な言語間の翻訳
    • 文書生成:レポートや論文、プレゼンテーションなど
    • 情報検索:特定のトピックに関する情報の検索
    • 文章の意味解釈:文章の意味の説明や要約

    などができます。

    でした。

     ちょっと使っただけでも、ChatGPTの能力は驚くばかりです。この能力をサイバー攻撃者は見逃すはずはありません。これまで、このセキュリティ意識向上トレーニング(SAT)ブログで紹介していますが、サイバー攻撃者集団にはITプロフェッショナルが中核メンバーとして活動しており、このような“使える”テクノロジーをいつも探してします。このブログでは、彼らが目を付けたポイントを紹介して、いかにこのテクノロジーを悪用しているかを解説したい。

     長年にわたり、サイバー犯罪のプロフェッショナルは、サイバーセキュリティ対策テクノロジーの検知をすり抜け、攻撃を成功させることを探究しています。大別すると、「難読化」と「信頼性」という2つの一般的な方法があります。難読化とは、マルウェアや悪意のあるプログラムに細工を施し、解析困難にする手法(不正プログラムの圧縮、一部の暗号化、無意味なコードの挿入など)に始まり、メール開封の際に注意を払わないユーザーを騙すためのドメイン名偽装など、あらゆることを意味するものです。信頼性とは、通常、フィッシングやソーシャルエンジニアリング攻撃において、説得力のある偽装Webサイト、説得力のあるメール、有名ブランドへのなりすましなどの様々な騙しのテクニックがあります。

     この「信頼性」と「難読化」の2つの側面で、ChatGPTが悪用されている事例を私たちはすでに何度か目にしています。

    • 「信頼性」の側面: 下手な悪意のあるコンテンツにさよなら  - フィッシングメールを見極める兆候の1つは、おかしな文章やスペルミス・変換ミス・誤字脱字などです。ChatGPTの文書作成能力と翻訳能力は、見極めることが困難な説得力のあるフィッシングメールを日本語で簡単に作ることを可能にしてしまいました。ChatGPTの悪用は、言語の障壁を超えて、サイバー詐欺者の悪意ある活動を許すことになります。この応用範囲を考えれば、メールからチャットの応答、攻撃中のあらゆる種類の対話に至るまで、すべてがプロフェッショナルに聞こえるようになります。まさに脅威と言わざるを得ない。
    • 「難読化」の側面: ChatGPTベースの難読化マルウェア -  CyberArkのセキュリティリサーチャーは、AIエンジンを使ってポリモーフィックマルウェアを簡単に作成できることを突き止めています。組み込みの制約を回避するためのいくつかの特定の文言を用いて、ChatGPT APIを使用したマルウェアコードを作成し、それをbase64でエンコードすることができたのです。さらに、マルウェアが攻撃の途中でChatGPTと通信し、独自の回避テクニックを確立するというコンセプトまでも議論されています。これは、実際の攻撃で可能であれば、本当に恐ろしいことです。

     ChatGPTが悪質だと言っているわけでは全くありません。実際、これを許可しないような制約を設ける措置をとっています。しかし、この新しくリリースされた機能を見てみると、多くのサイバー詐欺者がこれらを回避する方法を見付け出してくると考えても、おかしなことではないと言えます。

    こうしたAIのユースケースから見えてくるのは、攻撃の様相がこれからどのように変化していくかということです。サイバー犯罪者がAIツールを活用するようになると、あらゆる悪意あるものに対する典型的な制約を受けない独自のツールを構築することも想像に難くないと言えます。すでに学校向けにAIが書いた作文を識別するツールがあるのと同じように、ChatGPTのようなAIが作成した悪意のあるコンテンツやコードをAIで検出することが不可欠になる時がすぐにやって来るではと思わざるを得ません。

     ぜひ、皆さんも一度ChatGPTを使ってみて、ChatGPTの光と影を実際に体験してみてはどうでしょうか。

     参考文献:
    Stu Sjouwerman 202314日発信 https://blog.knowbe4.com/using-ai-large-language-models-to-craft-phishing-campaigns
    Stu Sjouwerman 2023120日発信 https://blog.knowbe4.com/cybersecurity-should-fear-ai-tools-like-chatgpt

    Topics: KnowBe4セキュリティ意識向上トレーニングブログ

     

    KnowBe4ブログに戻る

    Get the latest about social engineering

    Subscribe to CyberheistNews