ChatGPTがサイバー攻撃の武器と化す日は近い 今すぐできる防御策は？：CIO Dive

ChatGPTの登場は企業にビジネスチャンスを与える一方で、サイバー攻撃者にも新たな攻撃手段を提供した。これの普及でサイバー攻撃はどう変化するのか。想定される“悪夢のシナリオ”を解説する。

[Lindsey Wilkinson，CIO Dive]

　脅威アクターは「ChatGPT」という新たなツールを手にした。

　「ChatGPTは安全性が低く、サイバー攻撃をカスタマイズできるため、企業を脅かす可能性がある」との見解を専門家は示している。ChatGPTを巡る誇大広告の裏にはセキュリティ上の懸念が隠されていた。

ChatGPTがサイバー攻撃の武器と化す日は近い

　BlackBerryは北米や英国、オーストラリアのIT意思決定者1500人を対象に調査を実施した。これによると、IT専門家の半数以上が「2023年中にChatGPTがサイバー攻撃に利用される」と予測している（注1）。

　同調査によると10人中7人以上のIT専門家が、ChatGPTをサイバーセキュリティに対する潜在的な脅威、懸念点として捉えているようだ。IT部門はChatGPTの潜在的なユースケースを解読し始めるとともに、どのように悪用されて自社がターゲットとなる可能性があるのかを意識する必要がある。

　McAfeeのシニアバイスプレジデント兼CTO（最高技術責任者）のスティーブ・グロブマン氏は「最新もしくは新興の技術やアプリケーションと同様に、ChatGPTには長所と短所がある。ChatGPTは善悪両方のアクターによって活用されるため、サイバーセキュリティのコミュニティーは、悪用される恐れがある全ての可能性を警戒し続けなければならない」と注意を促している。

　グロブマン氏によると、Webブラウザにアクセスできれば誰でもChatGPTを利用できるため、知識格差が少なく参入障壁は低くなる。ChatGPTの助けを借りて、脅威アクターは個々の被害者をターゲットにした、より本物らしいフィッシングメールを大量に生成できる。グロブマン氏によると、この方法で送られたメールはサイバー攻撃の成功確率を向上させるそうだ。

　ChatGPTの普及によって、AI（人工知能）が生成したテキストと人間が書いたテキストの区別は困難になった。2023年2月に発表されたMcAfeeのデータでは、成人の3分の2以上が、AIツールが書いたラブレターと人間が書いたラブレターの違いを見分けられないことが判明した（注2）。

　OpenAIは、AIが生成したテキストを識別するのに役立つテキスト分類器を組織向けにリリースしたが、このツールは信頼性に欠ける。盗用検出サービスを提供するTurnitinや他の幾つかの企業も、AIが生成した文章を検出する機能のテストを始めている（注3）。

ChatGPTを悪用したフィッシング攻撃を防ぐには

　フィッシング攻撃に対して、企業は従業員が無作為にリンクをクリックしたり、会社情報を送信したりするのを防ぐ必要がある。

　BlackBerryの調査によるとIT意思決定者の半数以上が、ハッカーにとってより信頼性の高いフィッシングメールを作成するためにChatGPTが有効と考えており、これは世界的にも最大の懸念事項になっている。

　セキュリティソフトウェア会社SecureAuthのCEOであるポール・トゥルーローブ氏によると、脅威アクターがChatGPTやその他の類似ツールをどのように使用しているかについて従業員を教育することで、警戒心を高め、この種の攻撃を回避する力を鍛えられるという。従業員教育に加えて、認証許可を得たユーザーに限ってリソースへのアクセスを許可するゼロトラストモデルの採用も重要だ（注4）。

　「この戦略は社内の抵抗を受けるかもしれないが、ゼロトラストによるアクセス管理は、攻撃者がシステムを侵害することを難しくするだろう」（トゥルーローブ氏）

組織内から発生する脅威も見過ごせない　シャドーITへの対応策

　悪夢のシナリオになり得るのはフィッシング攻撃だけではない。クラウドや仮想化環境を提供するVMwareのグローバルセキュリティテクノロジストであるチャド・スキッパー氏は「サイバー犯罪者はAIを搭載したツールを使ってマルウェアの『Code-as-a-Service』を世の中に出す可能性がある」と指摘する。

　スキッパー氏は「ChatGPTのような技術の性質上、脅威アクターはこれまで以上に迅速かつ積極的に組織のネットワークにアクセスする」と電子メールで述べた。

　BlackBerryの調査からも、IT意思決定者の約半数が「ChatGPTは経験の浅いハッカーの技術的知識を高めるため、世界的な最大の懸念事項である」と考えている。

　以前は、サイバー犯罪者がネットワークにアクセスするのに何時間もかかっていたが、今では数秒でコードを生成できるようになったともスキッパー氏は述べる。

　またシャドーITという形で、組織内部から脅威がもたらされることもある。

　ペネトレーションテストのサービスを提供するCobaltのセキュリティ、コミュニティー、人材チームを率いる最高戦略責任者のキャロライン・ウォング氏によると、企業は従業員に知的財産の保護について注意を促す必要があるという。

　「OpenAIはChatGPTのユーザーに機密情報を共有しないよう警告している。企業はユーザーが使用するものは全て公開されていると考えるべきだと改めて伝えることが重要だろう」とウォング氏は電子メールで警鐘を鳴らす。

　Fishbowlが約1万1800人のユーザーを対象に実施した調査によると、3分の2以上の従業員が、上司に報告をせずにAIツールを使っていると回答した事実もある（注5）。

　「シャドーITのリスクを軽減するには、まず企業は社内の状況を把握し、全てのプロセスとパケットを可視化しなければならない。その上でセグメンテーションによって被害範囲を限定し、帯域内トラフィックで高度な脅威と異常を検出するとともに、エンドポイントおよびネットワークの検出と応答を統合して、継続的に脅威調査を実行する必要がある」とスキッパー氏はセキュリティ対策を提示した。

（注1）ChatGPT May Already Be Used in Nation State Cyberattacks, Say IT Decision Makers in BlackBerry Global Research（BlackBerry）
（注2）McAfee’s Modern Love Research Report （McAfee’s）
（注3）OpenAI, with pilots underway, tries to help organizations identify AI-generated text（CIO Dive）
（注4）Zero trust adoption skyrockets, nearing universal adoption（Cybersecurity Dive）
（注5）Most employees using AI tools for work aren’t telling their bosses（CIO Dive）

原文へのリンク