[No.113]ChatGPTでセキュリティ市場が一変、生成AIがフィッシングメールやマルウェアを生成しサイバー犯罪が多発
サンフランシスコでセキュリティの国際会議「RSA Conference 2023」が開催された(下の写真)。
今年の中心テーマは生成AIで、ChatGPTを悪用した犯罪とその防御方法が議論された。
ChatGPTを使ってフィッシングメールやマルウェアを生成する技法が示された。
ハッカーではなく素人でも簡単に使え、サイバー犯罪が分散し多発することが予想される。
同時に、セキュリティ企業はAIを活用した防御技術の開発を進めている。
セキュリティ市場
OpenAIが公開したChatGPTによりセキュリティ市場が一変した。
サイバー攻撃では高度な技術が求められ、悪意あるハッカー(Black Hat Hacker)が、防御網をかいくぐり、システムに侵入し、攻撃を展開する。
しかし、ChatGPTの登場で、チャットボットがフィッシングメールやマルウェアを作成し、サイバー攻撃への垣根が下がり、素人による攻撃が頻発すると懸念されている。
また、国家組織がChatGPTを悪用し、高度なサイバー攻撃を展開する可能性があり、国家安全保障の観点からも警戒されている。
Recorded Future
企業はChatGPTなど生成AIを使った攻撃を防御する技術の開発を進めている。
セキュリティ企業Recorded Futureはサイバー攻撃をAIで解析し、問題点を特定する技術の開発を進めている(下の写真)。
攻撃に関するデータを収集し、これを機械学習や自然言語解析で処理し、サイバー攻撃を把握する。
また、Recorded FutureはChatGPTを悪用したサイバー攻撃を重大な脅威と捉え、生成AIによるサイバー犯罪についての報告書を公開した。
ChatGPTによるサイバー攻撃
報告書によると、ChatGPTは2022年11月に公開されたチャットボットで、ダークウェブではこれを悪用したサイバー攻撃が議論されている。
また、ダークウェブには、ChatGPTで生成したマルウェアのプロトタイプが公開されている。
ChatGPTを使うと簡単にサイバー攻撃を展開できるため、短期的には、個人によるサイバー攻撃が広がると懸念される。
また、ChatGPTを使って国家によるサイバー戦争(Cyberwarfare)に発展する可能性も指摘される。
攻撃の種類
ChatGPTを使った攻撃では、生成したスクリプトによる攻撃(Script Kiddie)、活動家による攻撃(Hacktivist)、犯罪者による攻撃(Scammer)、スパムメールによる攻撃(Spammer)などが中心となる。
ダークウェブにおいて、マルウェアのプロトタイプが公開され、攻撃手法について情報が交換されている。
ChatGPTを悪用することで、マルウェアの作成、ソーシャルエンジニアリング、偽情報の拡散、フィッシング攻撃などを容易に展開できる。
これらは高度な攻撃ではないが、多くの個人による分散型の攻撃となり、防衛技術を強化する必要がある。
ソーシャルエンジニアリング
ChatGPTは高品質な文章を生成する機能を持ち、ソーシャルエンジニアリング・ツールが大量生産される。特に、ChatGPTはフィッシングメールの制作で威力を発揮し、メール犯罪が多発する。
下の写真は、会社のIT部門を装ったフィッシングメールの事例で、「セキュリティ強化のために添付ファイルをダウンロード」するよう社員に指示している。
添付ファイルはマルウェアで、これをダウンロードすると、社内システムがウイルスに感染することになる。
このメールを読むと、単語や文法の間違いはなく、構文もしっかりしており、説得力がある。
今まではメールの文章の品質からフィッシングを検知できたが、もうこの手法は使えない。
マルウェアを生成
ChatGPTはプログラミングの機能があり、言葉の指示でプログラムをコーディングすることができる。
プログラミングの知識がなくても、ChatGPTを使うと言葉でマルウェアを生成することができる。
下の写真は暗号通貨のワレットの機能を奪うマルウェアで「Cryptocurrency Clipper」と呼ばれる。
マルウェアは、クリップボードにワレットのアドレスが書き込まれるのを検知すると、クリップボードを書き換え制御を奪う。
素人が簡単にプログラミングできることから、多種類のマルウェアが生成され、攻撃への防衛が一層困難になる。
高品質な偽情報
ChatGPTは偽情報を生成し国民の世論を扇動するためにも悪用される(下の写真)。
「北朝鮮が大陸弾道弾を発射し日本の領海内に落下した」(上から二段目)などと、社会を混乱させる情報を生成する。
また、ChatGPTはEコマースにおける製品評価で、偽コメントを生成し、消費者を誘導する。
例えば、航空会社は利用者評価に関し、ChatGPTで好意的なコメントを生成し、それを掲載するなどの手法が報告されている。
これらは新しい手法ではなが、ChatGPTを使うと、高品質な偽情報を大量に生成できる。
防衛力の強化が求められる
ChatGPTや生成AIによるサイバー攻撃の被害は報告されていないが、ダークウェブでは攻撃の準備が進み、マルウェアのプロトタイプが公開されている。
実際の攻撃は秒読み段階にきている。また、高度な技術を要するランサムウェアについても、生成AIを悪用した開発が始まり、防衛技術の強化が求められる。
更に、生成AIの多くはオープンソースとして公開されており、国家がこれを改ざんし、高度な攻撃を実行することが懸念され、重大な脅威に備え対策を強化する必要がある。