Last Updated on 2024-10-29 10:39 by admin
OpenAIは2024年10月12日、自社のAIチャットボットChatGPTが複数の国家支援ハッカー組織によってサイバー攻撃に悪用されていたことを正式に確認した。
主な事例は以下の3つの組織による活動:
1. 中国のハッカー組織「SweetSpecter」
– OpenAI従業員への標的型フィッシング攻撃を実施
– ChatGPTを使用してスクリプト作成や脆弱性分析を実行
– SugarGh0st RATというマルウェアを使用
2. イランのIRGC関連組織「CyberAv3ngers」
– 産業用制御システム(PLC)の認証情報収集に利用
– カスタムスクリプトの開発とコード難読化に活用
– 主に西側諸国の重要インフラを標的
3. イランの「Storm-0817」
– Androidマルウェアの開発に利用
– インスタグラムスクレイパーの作成
– C&Cサーバーの構築にstickhero.proドメインを使用
from:OpenAI confirms threat actors use ChatGPT to write malware
【編集部解説】
OpenAIが公表した今回の報告は、生成AIの「影」の部分を企業自身が初めて包み隠さず明らかにした画期的な事例といえます。
特に注目すべきは、ChatGPTが国家支援ハッカー(APT)によって実際に悪用されていた事実が明確になったことです。これまでも研究者らによって指摘されていた懸念が、現実のものとなったことを示しています。
中国やイランのハッカー組織は、ChatGPTを「デジタル武器の開発補助」として活用していました。例えば、マルウェアのデバッグ支援や、ソーシャルエンジニアリング攻撃の効率化などに利用されています。
特筆すべきは、これらのAPTグループがChatGPTを使用する際、一般ユーザーと変わらない方法で利用していた点です。つまり、高度な技術的知識がなくても、AIを用いてサイバー攻撃の準備が可能になってきているということを示しています。
さらに懸念されるのは、ChatGPTのメモリ機能を悪用した「SpAIware」と呼ばれる新たな攻撃手法の存在です。この脆弱性を利用すると、ユーザーの会話内容を継続的に盗み出すことが可能でした。
ただし、OpenAIの対応は迅速でした。20以上の悪意のある活動を特定し、関連アカウントを停止。さらに、発見された侵害指標(IOC)を業界パートナーと共有するなど、責任ある対応を取っています。
今回の事例は、生成AIの「民主化」がもたらす両義性を示しています。誰もが高度な技術にアクセスできる一方で、それは悪意ある行為者にも同じく門戸を開くことを意味します。
このような状況下で、私たちユーザーに求められるのは、AIツールの利用における「適切な距離感」の確立です。便利な機能を活用しながらも、セキュリティリスクを意識した慎重な利用が重要になってきています。
特に企業においては、ChatGPTなどの生成AIツールの使用ポリシーの見直しが急務といえるでしょう。機密情報の取り扱いや、プラグインの使用制限など、具体的なガイドラインの策定が求められます。
【用語解説】
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
