ChatGPTがもたらす新たなセキュリティ脅威 そのリスクとは

企業はChatGPTを業務改善に活用しようと考え、サイバー犯罪者は攻撃手段として利用しようと企んでいる。一方で、サイバーセキュリティ技術の強化にも役立っているとの見方もある。

[後藤大地，有限会社オングス]

　急速に発展するAI（人工知能）技術「ChatGPT」。企業の業務改善に活用される一方で、サイバー犯罪者にも利用されている。実際に従業員が企業の機密データをChatGPTに入力する事例が報告されており、フィッシング詐欺やマルウェア開発など、攻撃の巧妙化が進むと考えられる。

OpenAI（出典：OpenAIのWebサイト）

ChatGPTがもたらすサイバーセキュリティの脅威

　Network Assuredは2023年4月12日（現地時間）、ChatGPTの利用状況とセキュリティリスクについて、以下のように報告した。

• Cyberhavenの調査によると、3.1％の従業員が企業の機密データをChatGPTに入力しており、データには企業の戦略文書や患者情報、ソフトウェアソースコード、知的財産に関する機密情報などが含まれている。AmazonやWalmartなどは従業員に対して企業の機密情報を入力しないように通達を出している。Samsungの半導体部門の従業員が機密性の高いデータをChatGPTに入力したことも明らかになった
• ChatGPTは2023年3月22日（現地時間）、バグによるデータを漏えい事故が発生した。また、「ChatGPT Plus」の1.2％に当たるユーザーの支払い詳細が一般公開されていた可能性が報告されている。Network Assuredは、「ChatGPTの利用が急速に広がるとともに、今後さらにデータが漏えいする可能性がある」と指摘している
• ChatGPTがフィッシング詐欺に使われている。Darktrace Researchは最近のフィッシング詐欺において「テキスト量や句読点、分の長さ、言語の複雑さが増している」と報告しており、ChatGPTがフィッシング詐欺に活用されている可能性を示唆する
• CyberArkやCheck Point Software Technologiesの研究者がChatGPTを使って新しいマルウェアが開発できることや古いマルウェアを改善できることを報告している。また、Forcepointの研究者はChatGPTを使ってウイルススキャナーに検出されないゼロデイのマルウェアが開発できると報告した
• ChatGPTの人気に便乗したトロイの木馬マルウェアが複数発見されており、アプリストアやブラウザのアドオンストアなどに多く観測されている
• ChatGPTが発信する情報の著作権などは現状、グレーな状態にあり、場合によってはこうした技術を活用している企業が将来的に影響を受けるリスクがある

　ChatGPTがサイバー犯罪者によって利用され、サイバーセキュリティ攻撃の巧妙化が進んでいることは複数のセキュリティベンダーが報告している。Network Assuredはこうした警戒を呼び掛けるとともに、AI技術がサイバーセキュリティ技術の強化にも役立っているとも語る。実際にマルウェアの検出件数なども増加しているようだ。