AI(人工知能)チャットボットの「ChatGPT」が話題だ。日本語にも対応しているので試してみた人は多いだろう。
ChatGPTは質問に答えるだけではない。条件や要求などを箇条書きにするだけで、もっともらしい長文を生成してくれる。例えば、物語のあらすじやメールの文面を生成してくれる。言葉で指示した処理をするプログラムも生成できる。
そうなると、気になるのはサイバー攻撃への悪用だ。フィッシングメールの文面やマルウエア(コンピューターウイルス)なども生成できるのではないだろうか。
2022年12月以降、セキュリティーベンダーやセキュリティー研究者はこぞって悪用の可能性について言及している。実際のところ、どうなのだろうか。
自然なフィッシングメールを生成
イスラエルのCheck Point Software Technologies(チェック・ポイント・ソフトウェア・テクノロジーズ)は2022年12月19日、ChatGPTを使うとフィッシングメールや悪用可能なマクロを簡単に生成できることを示した。
同社が示したフィッシングメールの例は英語だが、日本語でもそれらしいメールが生成された。例えば「架空のウェブホスティングサービス会社“Host4u”を装ったフィッシングメールの文章を作成してください」と入力すると、パスワードの変更依頼を装ってフィッシングサイトに誘導する、自然な日本語のメールが生成された。
また「英語で」や「ロシア語で」などと一言付け加えるだけで、日本語以外の文面を作れる。
悪用可能なマクロとは、任意のURLから実行形式ファイルをダウンロードして実行するVBAプログラムである。このようなマクロは、マルウエアの感染拡大によく使用される。
攻撃者は、このマクロを仕込んだExcelファイルやWordファイルをメールでばらまく。受信者がファイルを開いてマクロを有効にすると、マルウエアがダウンロードされて実行される。
いずれも簡単なメールの文面やマクロであり、わざわざChatGPTを使うまでもないように思える。ネットなどを調べれば自分で書けるはずだ。とはいえ、スキルの低い攻撃者が簡単にサイバー攻撃を始められるようにはなるだろう。
記事や論文からマルウエア生成
さらにチェック・ポイントは2023年1月6日、アンダーグラウンドのコミュニティーにおいて、ChatGPTで悪質なプログラムを開発する攻撃者を複数確認したと報告した。
