デビュー以来 11 月、ChatGPT はインターネットの新たなお気に入りの遊び道具になりました。 AI 駆動の自然言語処理ツールは、100 万人を超えるユーザーを急速に集めました。 結婚式のスピーチ と ヒップホップ歌詞 アカデミック エッセイを作成し、コンピューター コードを作成します。
ChatGPT の人間のような能力がインターネットを席巻しただけでなく、多くの業界を危機に瀕させました。ニューヨークの学校は、生徒がカンニングに使用される可能性があるという懸念から ChatGPT を禁止しました。コピーライターはすでに禁止されています。 交換した、およびレポートによると、Google は ChatGPT の機能に非常に警戒しているため、 「コードレッド」を発行 会社の検索ビジネスの存続を確保するため。
ChatGPT が限られたリソースと技術的知識のないハッカーによって悪用される可能性があるという懸念の中で、最新の AI の潜在的な影響について長い間懐疑的であったコミュニティであるサイバーセキュリティ業界も注目しているようです.
ChatGPT が登場してからわずか数週間後、イスラエルのサイバーセキュリティ企業 Check Point 実証済み Web ベースのチャットボットが、OpenAI のコード作成システム Codex と連携して使用されると、悪意のあるペイロードを運ぶことができるフィッシング メールをどのように作成できるか。 チェックポイントの脅威インテリジェンス グループ マネージャーである Sergey Shykevich 氏は、TechCrunch に対し、このようなユース ケースは、ChatGPT が「サイバー脅威の状況を大きく変える可能性」があることを示していると考えていると語り、「ますます高度で効果的な脅威の危険な進化における新たな一歩を表している」と付け加えた。サイバー能力。」
TechCrunch も、チャットボットを使用して、正当に見えるフィッシング メールを生成することができました。 最初に ChatGPT にフィッシング メールの作成を依頼したとき、チャットボットはそのリクエストを拒否しました。 「私は、悪意のある、または有害なコンテンツを作成または宣伝するようにプログラムされていません」と、プロンプトが吐き出しました. しかし、リクエストを少し書き直すことで、ソフトウェアの組み込みのガードレールを簡単に回避することができました。
TechCrunch が話したセキュリティ専門家の多くは、ChatGPT が正当に聞こえるフィッシング メール (ランサムウェアの最大の攻撃ベクトル) を作成できるため、チャットボットがサイバー犯罪者、特に英語を母国語としない人々に広く受け入れられると考えています。
Sophos の主任研究員である Chester Wisniewski は、ChatGPT が「あらゆる種類のソーシャル エンジニアリング攻撃」に悪用されていることは容易に確認できると述べています。
「基本的なレベルで、私はそれを使っていくつかの優れたフィッシングルアーを作成することができました.ビジネスメールの侵害や、Facebook Messenger、WhatsApp、またはその他のチャットアプリを介した攻撃でさえ、より現実的なインタラクティブな会話を行うために利用できると期待しています. 」 Wisniewski は TechCrunch に語った。
「実際にマルウェアを取得して使用することは、底辺のサイバー犯罪者になるためのたわごとのほんの一部です。」 Grugq、セキュリティ研究者
チャットボットが説得力のあるテキストと現実的なやり取りを書くことができるという考えは、それほど突飛なものではありません。 「たとえば、ChatGPT に GP 手術のふりをするように指示すると、数秒で本物そっくりのテキストが生成されます」と、Darktrace で脅威研究を率いる Hanah Darley 氏は TechCrunch に語った。 「攻撃者がこれを戦力増強手段としてどのように利用するかは想像に難くありません。」
チェックポイントも最近 警報を鳴らした サイバー犯罪者が悪意のあるコードを書くのを助けるチャットボットの明らかな能力について。 研究者は、技術的なスキルを持たないハッカーが悪意のある目的で ChatGPT の AI スマートをどのように活用したかを自慢した事例を少なくとも 3 回目撃したと述べています。 ダーク Web フォーラムの 1 人のハッカーが、関心のあるファイルを盗み、圧縮し、Web 経由で送信したとされる ChatGPT によって作成されたコードを公開しました。 別のユーザーが Python スクリプトを投稿しました。彼らは、これが彼らが作成した最初のスクリプトであると主張しました。 Check Point は、このコードは無害に見えますが、「ユーザーの操作なしで誰かのマシンを完全に暗号化するように簡単に変更できる」可能性があると述べています。 Check Point によると、同じフォーラム ユーザーが以前、ハッキングされた会社のサーバーへのアクセスと盗まれたデータへのアクセスを販売していました。
それはどれほど難しいでしょうか?
セキュリティ研究者で Picus Security の共同創設者である Suleyman Ozarslan 博士は、最近 TechCrunch に対して、ChatGPT を使用してワールドカップをテーマにしたフィッシングルアーを作成し、macOS を標的とするランサムウェアコードを作成する方法を実演しました。 Ozarslan は、チャットボットに Swift のコードを書くように依頼しました。Swift は、Apple デバイス用のアプリの開発に使用されるプログラミング言語で、MacBook 上の Microsoft Office ドキュメントを検索し、暗号化された接続を介して Web サーバーに送信してから、MacBook 上の Office ドキュメントを暗号化することができます。 .
「ChatGPT やこのような他のツールがサイバー犯罪を民主化することに疑いの余地はありません」と Ozarslan 氏は述べています。 「ランサムウェアのコードがすでにダークウェブで『既製品』を購入できるようになっただけでも十分に悪いことですが、今では事実上誰でも自分で作成できるようになっています。」
当然のことながら、ChatGPT が悪意のあるコードを作成できるというニュースは、業界全体に眉をひそめました。 また、一部の専門家は、AI チャットボットがハッカー志望者を本格的なサイバー犯罪者に変える可能性があるという懸念を暴こうとしているのも見られます。 で マストドンに投稿、独立したセキュリティ研究者である The Grugq は、ChatGPT が「コーディングが苦手なサイバー犯罪者を激怒させる」という Check Point の主張を嘲笑しました。
「彼らはドメインを登録し、インフラストラクチャを維持する必要があります。 ウェブサイトを新しいコンテンツで更新し、ほとんど動作しないソフトウェアがわずかに異なるプラットフォームで引き続き動作することをテストする必要があります。 彼らはインフラストラクチャの健全性を監視し、ニュースで何が起こっているかをチェックして、「最も恥ずかしいフィッシング詐欺のトップ 5」に関する記事にキャンペーンが含まれていないことを確認する必要があります」と The Grugq は述べています。 「実際にマルウェアを取得して使用することは、底辺のサイバー犯罪者になるためのたわごとのほんの一部です。」
悪意のあるコードを作成する ChatGPT の機能には結果が伴うと考える人もいます。
「防御側は、ChatGPT を使用してコードを生成し、敵をシミュレートしたり、タスクを自動化して作業を容易にしたりすることができます。 F-Secure の脅威インテリジェンス リードであるローラ カンカーラ (Laura Kankaala) は次のように述べています。 「しかし、ChatGPT によって生成されたテキストとコードの出力を完全に信頼することは危険であることに注意する必要があります。ChatGPT が生成するコードには、セキュリティの問題や脆弱性が含まれている可能性があります。 生成されたテキストには、事実に基づく完全な誤りが含まれている可能性もあります」と Kankaala 氏は付け加え、ChatGPT によって生成されたコードの信頼性に疑問を投げかけました。
ESET の Jake Moore 氏は、技術が進化するにつれて、「ChatGPT が入力から十分に学習すれば、すぐに潜在的な攻撃をその場で分析し、セキュリティを強化するための肯定的な提案を作成できるようになるかもしれません」と述べています。
サイバーセキュリティの将来においてChatGPTが果たす役割について対立しているのは、セキュリティの専門家だけではありません。 また、チャットボットに質問を投げかけたときに、ChatGPT 自体が何を言わなければならなかったのかにも興味がありました。
「ChatGPT やその他のテクノロジーが将来どのように使用されるかを正確に予測することは困難です。実装方法と使用者の意図に依存するからです」とチャットボットは答えました。 「最終的に、ChatGPT がサイバーセキュリティに与える影響は、その使用方法に依存します。 潜在的なリスクを認識し、それらを軽減するための適切な措置を講じることが重要です。」