ChatGPT: AIの善悪は使う人次第
科学とテクノロジ、そしてその構成要素は何世代にも渡って人類に大きな恩恵をもたらしてきました。定義上は新たな知識を探求する活動であり、悪用など考えられません。しかし現実には、どんな道具も善用と悪用が可能であり、それを決めるのは使用する人間です。
人間の思考を模擬し読み解こうとする飽くなき探求の果てに、人工知能の時代が幕を開けました。テキストベースのAIボットであるChatGPTは高度なAIの利用がSNS等で拡散し、ニュースの見出しを飾る最新ツールとなっています。ChatGPTはコーディング バグの的確な修正や3Dアニメーションの作成のほか、料理レシピの生成や果ては1曲まるごとの作曲などAIの計り知れない能力を示し、驚くべき新機能の世界の扉を開きました。
その一方で、AIは諸刃の剣というのが大方の見解です。サイバーセキュリティ分野では、AIを搭載したセキュリティ ツールとセキュリティ製品が既に提供されています。こうした製品を用いると、最小限の人間の介入で大量のインシデントを処理できます。その反面、素人のハッカーがAI技術を用いてインテリジェントなマルウェア プログラムを開発し、非常に高度なステルス攻撃を実行することも可能になりました。
新たなChatbotの問題
2022年11月にChatGPTが公開されるとすぐに、世界中の技術者とコメンテーターがAIによるコンテンツ生成ツールの影響に懸念を示しました。その代表格がサイバーセキュリティです。多くの方が「AIソフトウェアによってサイバー犯罪を誰でも行えるようになるのか?」という疑問を抱いていることでしょう。
先日ラスベガスで開催されたセキュリティ カンファレンス「Black Hat」と「Defcon」において、シンガポールの政府技術庁の代表者が講演を行いました。内容は、質の高いフィッシング メールや非常に効果的なスピア フィッシング メールをAIを用いて作成する研究で、人間では不可能なほど精巧な文面を出力することに成功しています。
この研究では、OpenAIのGPT-3プラットフォームなどのサービス型AI製品を利用し、同僚の経歴や個性に合わせてカスタマイズされたフィッシング メールをパーソナリティ分析を基に生成することを目指しました。最終的には、ターゲットへの攻撃前にメールの内容を整えて洗練させるパイプラインを構築しています。また、ターゲットに合わせたコンテンツの生成を指示したところ、シンガポールの法律の言及など非常に的確な詳細情報をプラットフォームが自動出力し、調査員を驚かせました。
ChatGPTの開発者は不正確だという前提に異議を唱え、不適切な要求を拒否する統制手段をAI搭載ツールに組み込むことを明確に提案しています。技術的には、明らかに不正な目的への悪用を防ぐ設計のガードレールがChatGPTには搭載されています。しかし、抜け穴を突くプロンプトをいくつか入力すれば、ほぼ完璧で「気味が悪いほど人間的な」フィッシング メールを生成できます。
この課題への対処方針
豪州サイバー セキュリティ センター(ACSC)によると、ビジネス メール詐欺(BEC)攻撃によって豪州の企業が2022年に被った損害(自己申告額)は9,800万ドルに達し、2021年の8,145万ドルから増加しました。この傾向は今後も悪化する一方だと予想されます。ダークWebで10ドル未満で販売されるツール、サービスとしてのランサムウェア モデルの出現、ChatGPTなどのAIツールの登場といった要因が重なり、サイバー犯罪の参入障壁が下がっているためです。
よりスマートで技術的に高度なハッカー グループによる脅威の出現を考慮すると、AIを利用したエクスプロイトとの戦いに共同でリソースを投入することがサイバーセキュリティ業界には求められます。ただし長期的には、人間の脅威ハンターを大量に集め推量によってAIの脅威とバラバラに戦う手法を業界のビジョンとすることはできません。
明るい兆しとしては、人間の介入を受けずに脅威に対処する自律レスポンスが大々的に利用されています。ただし、進化する脅威と戦うためのインテリジェントなアクションの実施が現時点での課題です。ACSCのエッセンシャル エイト緩和戦略などの手法を実践すれば、基本的なサイバーセキュリティを確保できますが、新しい高度な脅威への備えは保証されません。AIを利用した攻撃が日常生活の一部となる中で企業、政府、個人に求められるのは、AIや機械学習などの最新テクノロジに目を向け、自動レスポンスを自発的に構築することです。
責任感と倫理観をもってAIを利用する
先日、豪州で発生したハッキングが大きな注目を集めました。事件後にサイバーセキュリティ体制を改善する手段を企業が求めるのは当然です。特に、豪州証券投資委員会(ASIC)がサイバーセキュリティを軽視する経営者への監視を強めていることから、最新テクノロジの導入はもはや先送りできません。
しかし、AIサイバーセキュリティ環境を切り抜ける上で企業は様々な課題に直面します。技術的な複雑さや人的要素など考慮すべき要素が存在し、とりわけ機械と関係者と倫理的問題のバランスは重大な課題です。
サイバーセキュリティを強化しながら倫理的に事業を行うには、企業方針の策定が不可欠です。ガバナンスと法律に関する効果的なフレームワークを構築しAIへの信頼を高めることが求められます。身の回りに実装するAIテクノロジが安全かつ信頼できるもので、公正かつ持続可能な世界に貢献するという信頼が必要なのです。したがって、機械のメリットを信頼性、透明性、説明責任で支えるサイバーセキュリティ環境では、その成功を左右する要素としてAIと人の微妙なバランスが重要視されることになります。
本記事は2023年1月18日にAustralian Cybersecurity Magazineで初公開したものです。