キヤノンMJ/サイバーセキュリティ情報局
ChatGPTにマルウェア作成を任せる時代が来るのか?
本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「ChatGPTで高度なマルウェアを作成することができるのか?」を再編集したものです。
まずはじめにお伝えしますが、この記事はChatGPTが書いたものではありません ― ESET社のCameron Camp氏が書きました。また、タイトルにある質問に答えるよう依頼したわけでもありません。しかし、それはChatGPTが答えるかもしれませんね。幸いなことに、文法の間違いがいくつか残っていることが、私がロボットでないことを証明しています。でも、それもChatGPTが本物と思わせるためにやっていることかもしれませんね。
この現在のロボットのヒップスター技術は、宿題の答え、研究論文、法的回答、医療診断、そしてそのほかの多くのものを、あたかも人間による仕業であるかのように扱って「匂いテスト」をパスしたものを作り出すのに十分な素晴らしい自動応答装置です。しかし、私たちが毎日目にし、処理している何十万ものマルウェアサンプルに意味のある付加価値を与えることができるのでしょうか?それとも、偽物を簡単に見つけることができるのでしょうか?
ブログ検索エンジンであるTechnoratiが長年切望してきたマシン対マシンの対決において、ChatGPTは、相手のマシンを妨害する可能性のある真剣勝負の相手として、少し「良すぎる」ように見えます。攻撃側、防御側ともに最新の機械学習(ML)モデルを使用しているため、こうならざるを得なかったのです。
ただし、優れたマルウェア対策を作るには、ロボット対ロボットだけではありません。人間の介入が常に必要であり、私たちESET社は何年も前に人間をきちんと介入させることを決定しています。MLしか使用していない自社製品を「AI」と言ってお茶を濁しながら、マーケティング競争に参入してきた、ML専用のプロバイダーは悔しがっていることでしょう。
MLモデルは、粗いトリアージフロントエンドからより複雑な分析まで使用されていますが、大きな赤い「マルウェアを殺す」ボタンにはなりません。マルウェアはそれほど単純ではないのです。
しかし、念のため、ESET社の機械学習専門家たちに声をかけ、尋ねてみました。
Q. ChatGPTで生成されたマルウェアはどの程度のものになるのでしょうか、また、そのようなことは可能なのでしょうか?
A. ChatGPTはコード提案、コード例やスニペットの生成、デバッグ、コードの最適化、ドキュメントの自動化はかなり得意としていますが、「完全なAI生成マルウェア」にはほど遠いというところです。
Q. より高度な機能についてはどうですか?
A. 難読化がどの程度得意なのかはわかりません。Pythonのようなスクリプト言語に関する例もあります。ただ、IDA Proに接続したディスアセンブルされたコードの意味を「リバース」させる ChatGPTを見ましたが、これは面白いですね。全体として、プログラマーを支援する便利なツールでしょうし、フル機能のマルウェアを作るための第一歩なのかもしれませんが、まだまだですね。
Q. 今の実力は?
A. ChatGPTはLarge Language Modelであることを考えると非常に印象的であり、その能力はそのようなモデルの作成者をも驚かせるものです。しかし、現状では、非常に浅く、間違いが多く、幻覚に近い答え(=捏造された答え)を作り、真面目な話にはあまり信頼性がありません。
しかし、この水たまりに足を突っ込む技術者の群れから判断すると、急速に浸透しているようです。
Q. 今できること ― このプラットフォームが簡単に達成できることは何でしょうか?
A. 今のところ、悪意を持って利用される可能性が高いのは以下3つの分野だと見ています。
1. さらに巧妙なフィッシング
今までのフィッシング手口はすでに十分説得力のあるものと考えているのでしたら、ちょっと待ってください。今後はより多くのデータソースを調査し、それらをシームレスに組み合わせ、コンテンツから検出するのが非常に困難な特別に細工されたメールが出てくるでしょう。そしてそれらは、今よりクリックの成功率を向上させるでしょう。
ずさんな言語の間違いから、フィッシングオペレーターを簡単に淘汰することはできなくなります。このプラットフォームが持つ母国語の知識は、おそらくあなたよりも優れています。最も悪質な攻撃の大部分は、誰かがリンクをクリックすることから始まるので、関連する影響は非常に大きくなることが予想されます。
2. 身代金交渉の自動化
ランサムウェアのオペレーターが口が達者であることは稀でしょうが、コミュニケーションに ChatGPTの輝きを加えれば、攻撃者が交渉中に正規の手続きを踏んでいるように見せるための作業負担を軽減することができます。これはまた、攻撃者の身元や居場所を特定するためのミスを減らすことにもつながります。
3. 電話詐欺の手口の巧妙化
自然言語の生成はより自然になってきており、悪質な詐欺師は、自身があなたの地域の出身で、あなたの利益を一番に考えているようなトークを展開するでしょう。これは、詐欺師が自信をつける最初のステップの1つになるでしょう。彼らがあなたの身内のように感じさせることは、より自信を持たせることにつながります。
もしこれらは未来のことかもしれないと思ったとしても、それに賭けるのはやめた方がいいでしょう。一気にすべて実現されることはありませんが、しかし、犯罪者の腕は格段に上がっています。さて、ディフェンス側は、この挑戦にどのように受けて立つのでしょうか?
この記事の編集者は以下の記事もオススメしています
-
デジタル
システムの企画・設計の段階からのセキュリティの考え方「セキュリティ・バイ・デザイン」とはなにか -
デジタル
仕事とプライベートで同じアプリを使うハイブリッド環境、セキュリティ上のリスクは -
デジタル
JS/TrojanDownloader.Iframeの検出が大きく増加 「2023年1月2月マルウェアレポート」 -
デジタル
「Follina」、ゼロクリックでリモートコードを実行可能なWindowsの脆弱性 -
デジタル
ハッキングされやすいパスワードとそのセキュリティを高める方法 -
デジタル
IDSやIPSなどの主なネットワークセキュリティソリューションとネットワークの守り方 -
デジタル
APTグループ「Mustang Panda」が使用する最新バックドア「MQsTTang」とはなにか