ChatGPTでフィッシングサイトを自動検出する方法 NTTセキュリティが開発 精度は98%以上:Innovative Tech
NTTセキュリティ・ジャパンに所属する研究者らは、ChatGPTでフィッシングサイトを検出する手法を提案した研究報告を発表した。
Innovative Tech:
このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。Twitter: @shiropen2
NTTセキュリティ・ジャパンに所属する研究者らが発表した論文「Detecting Phishing Sites Using ChatGPT」は、ChatGPTでフィッシングサイトを検出する手法を提案した研究報告である。
この手法では、Webサイトから情報を収集するためにWebクローラーを使用し、その収集したデータを元にプロンプトを作成する。プロンプトはChatGPTに提示され、ChatGPTは与えられたWebサイトがフィッシングサイトかどうかを判断する。
WebクローリングとChatGPTの組み合わせにより、Webサイトの正当性や怪しさに関する情報に基づいた判断が可能になり、機械学習モデルを微調整することなく、さまざまなフィッシングサイトを検出できる。また、Webサイト全体やURLのコンテキストから、ソーシャルエンジニアリング(人為的なミスを利用して個人情報などを入手するサイバー攻撃)の特定も可能である。
フィッシングサイトを検出するためのテキストプロンプトは、次の図のような内容となる。
ChatGPTがフィッシングサイトを正しく検知した場合の例と、検知した際のChatGPTの回答例を以下の図に示す。この例では、WebサイトがFacebookになりすましてユーザーを危険にさらそうとしていることや、そのサイトがFacebookと関連していることをChatGPTが正しく認識し、ドメイン名が正規のFacebookでないと判断した。
さらに、ChatGPTはソーシャルエンジニアリングの存在も認識し、HTML内に疑わしいリンクが存在することを明らかにした。
提案手法の性能評価のために、フィッシングサイトの検出に特化したデータセットを使用して実験を行った。GPT-4を用いた実験では、98.3%の精度と98.4%の再現率という有望な性能を示した。
さらに、GPT-3.5とGPT-4の比較分析により、GPT-4の能力が大きく向上していることが明らかになった。GPT-4は、ドメイン名の怪しさの判定、Webサイトの内容からのソーシャルエンジニアリングの特定、複数の要素を考慮した包括的なフィッシング検知においてGPT-3.5を上回った。
これらの知見は、自動化されたサイバーセキュリティ対策を強化し、ユーザーが直面するオンライン詐欺行為のリスクを軽減するために重要な意味を持つものである。
Source and Image Credits: Takashi Koide, Naoki Fukushi, Hiroki Nakano, and Daiki Chiba. Detecting Phishing Sites Using ChatGPT.
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- ChatGPTに詐欺メールの相手をさせたら? 最大18回のやりとりを記録 詐欺師の時間の浪費に成功
イタリアのNational Research Council of Italyに所属する研究者らは、詐欺師が送る詐欺メールとのやりとりをChatGPTにしてもらったらどうなるかを検証した研究報告を発表した。 - 社長から「ChatGPTを調べろ」と言われた──そんなときに役立つ“ChatGPT概論” データ分析企業が公開
「ChatGPTについて調べてくれ」と社長から特命を受けた──そんな人たちに向けた資料が無償公開され話題を集めている。 - 個人情報保護委、ChatGPT提供の米OpenAIに行政指導 人種や信条、病歴などを取得しないよう要請
個人情報保護委員会は、AIチャットサービス「ChatGPT」などを提供する米OpenAIに対し、個人情報保護法に基づく行政指導を行ったと発表した。 - ChatGPTは「ハリー・ポッター」を読破済み? 生成AIで懸念される著作権侵害のリスクとは
日本企業でも、チャットAI「ChatGPT」の活用や導入検討が始まりつつある。一方、生成AIの出力結果によっては、第三者の著作権を侵害してしまうリスクも付きまわる。中でも懸念されるのは「学習した著作物に近い形で、コンテンツを生成する」というものだ。 - 「AIに毒を盛る」──学習用データを改ざんし、AIモデルをサイバー攻撃 Googleなどが脆弱性を発表
Google、ETH Zurich、NVIDIA、Robust Intelligenceに所属する研究者らは、学習用データセットの一部を改ざんし、それらを学習した機械学習モデルを攻撃する手法を提案した研究報告を発表した。