The Hacker Newsは11月7日(現地時間)、「Offensive and Defensive AI: Let's Chat(GPT) About It」において、サイバー攻撃者がOpenAIのChatGPTとOpenAI Playgroundを悪用する手法と、ChatGPTを活用してこれを防御するセキュリティ体制の強化の方法および注意事項について解説した。

The Hacker Newsは、ChatGPTがサイバー犯罪への参入を容易にするものと指摘している。具体的には、ChatGPTを悪用できるケースとして、以下を挙げている。

  • 脆弱性の発見 - サイバー攻撃者はWebサイト、システム、API、その他のネットワークコンポーネントの潜在的な脆弱性についてChatGPTから回答を得られる可能性がある。ChatGPTとPlaygroundは悪用されるのを防止する機能があるものの、人工知能(AI: Artificial Intelligence)のソーシャルエンジニアリングによりこれを回避できる
  • 既存の脆弱性の悪用 - ChatGPTは既存の脆弱性の悪用方法について技術情報を提供できる。具体的には既知のSQLインジェクションの脆弱性をテストする方法を尋ねることで、不具合を発生させる方法を回答することがある
  • Mimikatzの使用 - サイバー攻撃者はChatGPTにWindowsの認証情報を窃取する実証実験用ツール「Mimikatz」をダウンロードして実行するコードを生成させることができる
  • フィッシングメールの作成 - ChatGPTはさまざまな言語や書き方で本物に近いフィッシングメールを作成することができる
  • 機密ファイルの特定 - ChatGPTは特定のデータを含むファイルを分類するツールの開発に役立つ。具体的な例としては、「機密」という単語を含むファイルを検索するPythonスクリプトの雛形を生成させることが可能

一方、ChatGPTはサイバー攻撃に対する防御の強化にも活用可能だ。具体的には、次のように利用することで、セキュリティの専門知識と能力を向上させることに役立つという。

  • 新しい用語と技術の学習 - ChatGPTはセキュリティ関連の質問に対して簡潔な回答を提供できるため、新しい用語、技術、プロセス、方法論の調査および学習の時間を短縮できる
  • 悪意のあるコードの解読 - 分析者は攻撃に使用されたコードをChatGPTにアップロードすることで、実行された手順と動作の説明を得られる
  • 攻撃パスの予測 - ChatGPTは過去のサイバー攻撃と使用された技術の分析により、将来起こり得る攻撃パスを予測できる
  • サイバー攻撃者と攻撃パスの調査 - ChatGPTは脅威アクタをマッピングする詳細な技術レポートを提供できる
  • コード脆弱性の特定 - ChatGPTに開発中のコードを分析させることで、脆弱性の特定を試みさせることができる。ただし、開発中のコードが流出する可能性に注意
  • ログ内の不審な活動の特定 - ログを分析させることで不審な活動を特定できる可能性がある
  • 脆弱なWebページの特定 - Web開発者またはセキュリティ専門家は、Webサイトのコードを分析させることで脆弱性を特定できる可能性がある

このようにChatGPTを活用することでサイバー攻撃およびセキュリティに関する情報を得ることができる。しかしながら、ChatGPTを活用する場合は著作権やプライバシ、データ流出など注意事項が存在する。The Hacker Newsではこれら注意事項についても解説しており、各国の規制の範囲内で適切に活用することが望まれている。