chatgptとその他のAIチャットボットがサイバーセキュリティの将来にどのような意味を持つのか

ラップトップ画面上のchatgptホームページ.jpg

比較的単純なタスク、例えばメールの作成から、エッセイの執筆やコードの編集などのようなより複雑な仕事まで、ChatGPT -- OpenAIのAI駆動の自然言語処理ツール -- は、その立ち上げ以来、非常に大きな関心を集めています。

もちろん、それは決して完璧ではありません -- それは間違いを犯したり、情報の解釈を誤ったりすることがありますが、多くの人々がそれを、そして他のAIツールを、インターネットを使用する未来と見ています。

OpenAIチャットGPTの利用規約では、特にランサムウェア、キーロガー、ウイルス、または「ある程度の害をもたらすことを意図した他のソフトウェア」といったマルウェアの生成が禁止されています。さらに、スパムの作成を試みたり、サイバー犯罪を目的とした利用も禁止されています。

ただし、どんな革新的なオンライン技術でも、既にChatGPTを悪用しようと試みる人々が存在しています。

開始後、すぐにサイバー犯罪者達はアンダーグラウンドフォーラムにスレッドを投稿し、ChatGPTがフィッシングメールの執筆やマルウェアの編集など、悪意のあるサイバーアクティビティを促進するためにどのように使用できるかについて話していました。

また、犯罪者がChatGPTやGoogle Bardなどの他のAIツールを使って、自分たちの活動の一部として利用する試みが懸念されています。これらのAIツールはサイバー攻撃を革新するわけではありませんが、それでも、サイバー犯罪者がより効率的に悪意のあるキャンペーンを実施するのに役立つ可能性があります。

「少なくとも短期間では、ChatGPTは完全に新しいタイプの攻撃を引き起こすことはないとは思いません。焦点は、彼らの日々の業務をより効率的にすることになるでしょう」と、サイバーセキュリティ企業であるCheck Pointの脅威インテリジェンスグループマネージャーのSergey Shykevichは述べています。

また、ChatGPTとは何であり、なぜ重要なのでしょうか?ここには知っておく必要があるすべてがあります

フィッシング攻撃は、悪意のあるハッキングや詐欺キャンペーンの最も一般的な要素です。攻撃者は、マルウェアを配布するために電子メールを送信したり、フィッシングリンクを送ったり、被害者にお金を送金させるために使用されたりしますが、電子メールは初期の脅迫における鍵となるツールです。

メールに頼っていることは、ギャングが明確で使いやすいコンテンツの安定した流れを必要とすることを意味します。多くの場合、特にフィッシングの場合、攻撃者の目的は人間を説得してお金を送金させることなどです。幸いなことに、これらのフィッシング試みの多くは現在、スパムとして簡単に見分けることができます。しかし、効率的な自動コピーライターが存在すれば、これらのメールをより魅力的にすることができます。

サイバー犯罪はグローバルな産業であり、世界中の様々な国の犯罪者が潜在的なターゲットに対してフィッシングメールを送っています。これは言語が障壁となることを意味し、特に被害者が信頼できる連絡先と話していると信じていることを前提としたより洗練されたスピアフィッシングキャンペーンの場合には言語が問題となります。もしメールが特徴的ではない綴りや文法の誤りや奇妙な句読点でいっぱいの場合、被害者は同僚と話しているとは信じにくいでしょう。

しかし、AIが適切に利用される場合、チャットボットは、攻撃者が望む言語で電子メールのテキストを作成するために使用される可能性があります。

"ロシアのサイバー犯罪者にとって最大の障壁は言語であり、それは英語です"、シュケビッチ氏は述べています。 "彼らは今、ロシアの大学の英文学科の卒業生を雇い、フィッシングメールの執筆やコールセンターで活躍させるためにお金を支払わなければなりません。"

彼は続けます。「ChatGPTのようなものは、さまざまな種類のフィッシングメッセージの作成において、彼らに多くのお金を節約することができます。それは彼らの生活を改善するだけです。私はそれが彼らが求める道筋だと思います」と。

chatgpt-login-screen.jpg

理論上、違反行為を防止するための保護措置があります。例えば、ChatGPTでは、ユーザーはメールアドレスの登録が必要であり、登録の確認のために電話番号も必要とされます。

そして、ChatGPTはフィッシングメールの作成を拒否しますが、他のメッセージ用のメールテンプレート作成をお願いすることは可能です。これらのメッセージは、サイバー攻撃者によってよく利用されます。そのようなメッセージには、年次ボーナスが提供されていると主張したり、重要なソフトウェアのアップデートをダウンロードしてインストールする必要があると述べたり、緊急性のある添付ファイルを確認する必要があると主張するものが含まれるかもしれません。

"リンクをクリックして会議の招待状などを手に入れるためのメールを作成することは、かなりうまくいっています。もし英語が母国語ではない人なら、これは本当に良い印象を与えるでしょう。" と、クラウドストライクの脅威インテリジェンスプロバイダであるアダム・マイヤーズ上級副社長は語っています。

"ネイティブではない英語話者の場合は作り上げる能力がないような、丁寧な文法に基づいた招待状を作成することができます。"

しかし、これらのツールを乱用することは電子メールに限られていません。犯罪者は、テキストベースのオンラインプラットフォームのスクリプトを書くのにこれらのツールを利用することができます。詐欺を行う攻撃者や、高度なサイバー脅威グループが諜報キャンペーンを実行しようとする場合、これは有用なツールとなるでしょう-特に人々を引きつけるための偽のソーシャルプロファイルを作成するために。

"リンクトインで、実際のビジネスパーソンのように見えるために、説得力のあるビジネススピーキングのナンセンスを生成したい場合は、クラウドコンピューティングプロバイダのFastlyのサイバーセキュリティ専門家であるケリー・ショートリッジ氏は、ChatGPTはそれに最適です。"

さまざまなハッキンググループが、LinkedInや他のソーシャルメディアプラットフォームをサイバー諜報キャンペーンのツールとして悪用しようと試みています。しかし、偽のが見栄えの良いオンラインプロファイルを作成し、それらをポストやメッセージで埋めるというのは、時間のかかるプロセスです。

ショートリッジは、攻撃者がChatGPTなどのAIツールを使用して説得力のあるコンテンツを作成することができると考えています。また、この作業は手作業よりも労力を減らす利点もあります。

"そのようなソーシャルエンジニアリングのキャンペーンは、そのプロフィールを設定するために多くの努力が必要となります。"彼女は主張しますが、AIツールによって参入の障壁がかなり低下することができると述べています。

"ChatGPTが非常に説得力のあるリーダーシップ記事を書くことができると思います」と彼女は言います。

技術革新の本質は、新しいものが現れるたびに、それを悪用しようとする人々が必ず存在するということです。そして、濫用を防ぐための最も革新的な手段を用いても、サイバー犯罪者や詐欺師の狡猾な性格から、彼らは保護策を回避する手段を見つける可能性が高いです。

「完全にゼロの乱用を排除する方法はありません。これはどのシステムでも起きたことがありません」とシキェビッチは述べています。彼は、潜在的なサイバーセキュリティの問題を明らかにすることで、AIチャットボットが不正な目的で悪用されることを防ぐ方法について、より多くの議論が行われることを期待しています。

"素晴らしい技術ですが、新しいテクノロジーでも常にリスクがあり、それを議論して認識することが重要です。そして、より多くの議論が行われれば行われるほど、OpenAIや同様の企業が乱用を減らすためにもっと投資する可能性が高まると思います」と彼は提案しています。

AIチャットボット(ChatGPTなど)には、サイバーセキュリティの面でも利点があります。これらのボットは特にコードの取り扱いや理解に優れているため、防御側がマルウェアを理解するのに役立つ可能性があります。また、コードの作成も行えるため、これらのツールが開発者のプロジェクトを支援することで、より良くて安全なコードを迅速に作成する助けとなる可能性もあります。これは皆にとって良いことです。

最近、フォレスターの主任アナリスト、ジェフ・ポラード氏は書いていますが、ChatGPTはセキュリティインシデントレポートの作成にかかる時間を大幅に削減できる可能性があります。

「それらをより速く進めることは、セキュリティチームがスケールするのに役立ちます」と彼は指摘し、「テスト、評価、調査、対応」といった他の作業に時間を費やすことができると述べています。また、利用可能なデータに基づいて次に推奨されるアクションを提案するボットも可能です。」

"セキュリティのオーケストレーション、自動化、およびレスポンスが正しく設定されている場合、アーティファクトの取得を加速させることができ、これによって検知と対応が加速され、セキュリティオペレーションセンター(SOC)のアナリストがより良い判断を下すのに役立つでしょう"、彼は言います。

そうですね、チャットボットはサイバーセキュリティに関わる人々にとって困難な状況をもたらすかもしれませんが、同時に希望の光も見つかるかもしれません。

ZDNETはコメントを求めるためにOpenAIに連絡しましたが、返答は受け取っていません。しかし、ZDNETはChatGPTにフィッシング詐欺への悪用を防止するためのルールを尋ねました - 以下のテキストが得られました。

「AIの言語モデルであるChatGPTはフィッシングメールと似たテキストを生成することができることは重要ですが、自ら悪意のある行動を実行することはできず、ユーザーの意図と行動がなければ害を及ぼすことはありません。そのため、AI技術を使用する際には注意と良識を持って行動することが重要であり、フィッシングおよびその他の悪意ある活動から自己を保護するために警戒する必要があります。」

関連記事

もっと見る >>

HIX.AI で AI の力を解き放ちましょう!