サマリー:チャットGPTをはじめとする生成AIの登場で、産業界は湧き立っている。一方、生成AIはハッカーたちにも大きな武器となる。政府や企業は、みずからの利益だけを考えて生成AIを活用するのではなく、新しいテクノロジー…
チャットGPTはハッカーに新たな手段をもたらす
2022年11月、オープンAIが革命的なAI言語モデルのチャットGPTをリリースした当時、何百万人ものユーザーがその能力に驚嘆させられた。
ところが、多くの人が抱いた好奇心は早々に、このツールが悪人の企てを後押しするのではないかという深刻な懸念へと変わった。
具体的には、チャットGPTは高度なサイバーセキュリティソフトウェアの侵害を可能にする新たな手段をハッカーにもたらす。2022年、データ漏えいは世界全体で38%増加した。この事実にただでさえ動揺している関連業界では、リーダーがAIの影響の拡大を認識し、対応に動くことが不可欠だ。
解決策を練る前に、チャットGPTの普及によって生じる主な脅威を明らかにする必要がある。本稿では新たなリスクを検証し、サイバーセキュリティの専門家が問題に対処するためには、どのような訓練とツールが必要なのかを検討する。そして、AIの使用がサイバーセキュリティの取り組みに悪影響を及ぼさないようにするための、政府による監視を提唱する。
AIが生成するフィッシング詐欺
言語系AIの初期のものは何年も前からオープソース化されてきたが、現時点ではチャットGPTが飛び抜けて進んでいる。とりわけ、スペルや文法、動詞の時制を間違うことなく非常にスムーズにユーザーと対話する能力は、チャット画面の向こう側に本物の人間がいるかのように思わせる。ハッカーから見れば、チャットGPTはゲームチェンジャーだ。
FBIのインターネット犯罪報告書2021年版によれば、フィッシングは米国における最も一般的なIT脅威である。とはいえ、フィッシング詐欺の大半は、スペルミスやお粗末な文法、総じて不自然な言葉遣いがしばしば散見されるため、容易に見分けがつく。英語が母語ではない悪人によって海外から米国に送られたものであれば、なおさらだ。
チャットGPTによって、世界中のハッカーたちが、ほぼ完璧な英語を使ってフィッシング活動を強化できるようになる。
サイバーセキュリティを担うリーダーには、洗練されたフィッシング攻撃の増加に対する早急な対応と、実行可能な解決策が求められる。チャットGPTの生成物と人間の生成物を判別できるツール、特に、見知らぬ相手から受信する「コールドメール」に対応するツールを、自社のITチームに持たせる必要がある。
幸いにも、「チャットGPT検出」のテクノロジーはすでにあり、チャットGPTと並行して発展していく可能性が高い。ITインフラがAI検出ソフトウェアを統合し、AI生成メールを自動的にスクリーニングしてフラグをつけるのが理想的だ。
加えて、すべての従業員に対し、AIの助けを借りたフィッシング詐欺に特別な注意を向けながら、最新のサイバーセキュリティの意識向上と予防スキルの訓練、および再訓練を定期的に実施することが重要となる。
そして、業界と一般市民の両方ともに、拡張するAIの能力にただ夢中になるのではなく、高度なAI検出ツールの開発を提唱し続けていく責任がある。
チャットGPTを騙して悪質なコードを書かせる
チャットGPTは、コードやコンピュータプログラミング用ツールの生成に長けているが、悪質な目的やハッキング目的と判断したコードは生成しないようにAIがプログラミングされている。ハッキングコードを要求された場合はそのユーザーに対し、チャットGPTの目的は「倫理に関するガイドラインとポリシーを順守しながら、有益で倫理的なタスクを支援する」ことであると伝える。
だが、チャットGPTの不正操作はもちろん可能であり、チャットGPTヘの促し方を十分に工夫すれば、悪人はAIを騙してハッキングコードを生成させることができるかもしれない。実際、ハッカーたちはすでにこの目論見を企てている。
たとえば、イスラエルのセキュリティ会社チェックポイントは先頃、チャットGPTでマルウェアの再現を試していると主張するハッカーのスレッドを、有名なアンダーグラウンドのハッキングフォーラムで発見した。
このようなスレッドがすでに一つ見つかっているならば、世界中のダークウェブでさらに多くが存在するのは間違いないだろう。サイバーセキュリティの専門家は、AIによるものか否かを問わず、増え続ける一方の脅威に対応するための、適切な訓練(継続的なスキル向上)とリソースが必要としている。
また、AIから生成されたハッキングコードをより効果的に見つけて防ぐために、サイバーセキュリティの専門家に独自のAI技術を装備させることもできる。世論はチャットGPTが悪人に与える能力について嘆きがちだが、同じ能力は善人も等しく利用できるのだ。
訓練では、チャットGPT関連の脅威を防ぐ取り組みに加え、チャットGPTがサイバーセキュリティ専門家にとっていかに重要な武器となりうるかについても指導すべきだ。この急激な技術進化により、サイバーセキュリティ脅威が新たな段階を迎える中、AIによるセキュリティの可能性を検証し、遅れずついていくために新しい訓練を構築し、実施しなくてはならない。
また、ソフトウェア開発者は、人間で構成されるセキュリティ・オペレーション・センター(SOC)向けに、チャットGPTをさらに上回る潜在能力を持つ生成AIの開発を目指すべきである。
AIの使用と能力を規制する
悪人が外部のソフトウェアをハッキングするためにAIを活用する
報道によればチャットGPTは、政治色の濃い質問を特定して答えを避けるための措置を講じたという。とはいえ、もしもAIがハッキングされ、客観的なように見えるけれども、実は巧妙に隠されたバイアスや偏見を伴う情報を提供するように不正操作された場合、そのAIは危険なプロパガンダ製造機となりうる。
不正アクセスを受けて誤情報を広めるチャットGPTの能力は懸念を招き、高度なAIツールとオープンAIのような企業に対する政府の監視強化を余儀なくさせるかもしれない。
バイデン政権は2022年10月に「AI権利章典の青写真」を発表したが、チャットGPTの登場によってリスクはかつてなく高まっている。この青写真を踏まえ、オープンAIをはじめ生成AI製品を売り出す企業に対し、ハッキングを受けるリスクを減らすために自社のセキュリティ対策を定期的に見直すよう、徹底させるための監視が必要だ。
加えて、新たなAIモデルには、オープンソース化の前に最低限果たすべきセキュリティ対策の基準を義務づけるべきである。ビング(Bing)は独自の生成AIを2023年3月初旬に搭載し、メタ・プラットフォームズも独自の強力なツールの構築が最終段階を迎えた。ほかのテック大手からのリリースも続く予定だ。
チャットGPTの可能性と成長する生成AI市場について、人々が驚嘆し、サイバーセキュリティの専門家が熟考する中、このテクノロジーが手に負えなくなるのを防ぐためには、抑制と均衡が欠かせない。
サイバーセキュリティを担うリーダーは、従業員に再訓練し、装備を整え、政府は規制面でより大きな役割を果たすべきである。だがそれだけでなく、AIに対する私たちの考え方と態度を全面的に変える必要がある。
AIの根本的な基盤、特にチャットGPTのようなオープンソースの基盤はどうあるべきかを、私たちは再考しなくてはならない。AIツールが一般の人々の間で利用可能になる前に、その機能が倫理的かどうかを開発者は自問する必要がある。
新しいツールは、不正操作を確実に禁じる根本的な「プログラミングの核」を備えているだろうか。それを義務づける基準を、どう確立すべきだろうか。その基準を守れない開発者に、どのように責任を取らせればよいだろうか。
エドテック、ブロックチェーン、デジタルウォレットといった異なるテクノロジー間でのやり取りを安全かつ倫理的に行うため、中立的な基準が組織には導入されている。同様の原則を、生成AIにも適用することが不可欠だ。
チャットGPTをめぐる議論は最高潮に達しているが、テクノロジーリーダーは、自身のチーム、会社、そして社会全体にとってこのテクノロジーの発展が何を意味するのかを考える必要がある。そうしなければ、ビジネス成果の向上に向けた生成AIの導入と実装で、競合他社に後れを取るだけでは済まない。このテクノロジーをすでに個人的利益のために不正操作できる、次世代のハッカーを想定して防ぐことにも失敗するだろう。
レピュテーションと収益に関わるこの問題を前に、産業界は一丸となって適切な防御を整え、チャットGPT革命を恐怖の対象ではなく、歓迎すべきものにしなくてはならない。