生成AIの可能性は、業界を超えて多くの企業や組織が注目しています。皆さんの企業でも、ChatGPTや他のAIプラットフォームを活用しようとする機運が高まっているのではないでしょうか。多くの企業が、問い合わせを受けた質問に答えるために、ChatGPTなどのAIプラットフォームを活用し始めていますが、知見のあるアウトプットを得ようとして、注意を払わずに、社内の重要情報をAIに提供してないでしょうか。
最近の研究により、ChatGPTに問い合わせの一部として入力された情報を、後で正確に呼び出せることがわかりました。また、現状では、ChatGPTには、共有された情報を取得できるユーザーを制限するなどの機能が提供されていません。
ここで重要な問題は、誰がこのような情報を取得できるかです。2021年にコーネル大学で発表された研究論文において、当時のChatGPT-2からどれだけ簡単にデータを抽出できるかが調査されました。また、データ分析会社であるCyberhavenによると、従業員の10%近くが職場でChatGPTを使用したことがあり、それらの半数弱が機密データをAIエンジンに提供していました。
Cybenhavenは、ChatGPTに機密データを入力することがいかに危険であるかを示すために、最も単純な例を挙げています。
医師が患者の名前と病状の詳細をChatGPTに入力すると、患者の保険会社に宛てた、医療処置の必要性を証明する手紙を作成してくれます。その後、もし第三者がChatGPTに「[患者名]はどのような健康上の問題を抱えていますか?」と尋ねた場合、ChatGPTは医師が入力した情報を答えてきます。
現状のChatGPTでは、共有された情報を取得できるユーザーを制限できないことを考えてみてください。ChatGPTなどの生成AIプラットフォームが、サイバー攻撃者やサイバー攻撃集団にとっての新たな宝の宝庫となる可能性があることを示唆しています。サイバー攻撃者がAIエンジンに入力されたこれらのデータを悪用する、あるいはChatGPTを装った詐欺を仕掛ける可能性を無視することはできません。このような機密データが外部に公開されるリスクは、フィッシング攻撃と同様に大きな脅威です。
サイバー攻撃者は、常に進化し、新たな攻撃手法を見付け出してきます。このようなサイバー攻撃者の進化に対抗するためには、継続的なセキュリティ意識向上トレーニングの実施が不可欠です。セキュリティ意識向上トレーニングの効果に注目してください。継続的なセキュリティ意識向上トレーニングを実施することで、ユーザーが最新のセキュリティ動向を把握し、日常業務で不審な動きがあれば報告できるようになり、重大な被害を招くサイバー攻撃を未然に防ぐことができます。
原典:Stu Sjouwerman著 2023年6月2日発信 https://blog.knowbe4.com/chatgpt-data-misuse