人工知能(AI)と機械学習がますます日常生活に溶け込むようになった今、悪用される可能性も高まっている。最近の例では、技術的スキルの乏しい人がAI、特にOpenAIの生成チャットボット「ChatGPT」を使って、いかに迅速かつ効率的に強力で検出不可能なマルウェアを作成できるかが実証されている。
ChatGPTは高度なマルウェアを作成でき、大きな脅威となる
Forcepoint社の自称初心者でセキュリティ研究者のAaron Mulgrew氏は、ChatGPTの能力の限界をテストした。彼は、わずか数時間で洗練されたゼロデイ・マルウェアを作成できる抜け穴を発見した。この偉業は、マルグルーにコーディングの経験がなかったことを考えると、特に注目に値する。
OpenAIは、ユーザーがChatGPTに悪意のあるコードを書くよう要求するのを防ぐ安全装置を実装している。しかし、Mulgrewは、チャットボットに悪意のあるコードの個々の行を生成するように依頼し、別々の関数に焦点を当てることで、これらの保護をバイパスすることができました。
様々な関数をコンパイルした後、Mulgrewは検出がほとんど不可能な高度なデータ窃取実行ファイルを完成させた。
Mulgrewは、ハッカー・チームと多大なリソースを必要とする従来のマルウェアとは異なり、わずかな時間でマルウェアを単独で作成した。
この状況は、ChatGPTのようなAIを搭載したツールに関する潜在的なリスクを強調している。また、その安全性や悪用されやすさについても疑問を投げかけている。
chatgptマルウェア:詳しく見る
Mulgrewマルウェアは、SCR拡張子を持つスクリーンセーバー・アプリケーションに偽装しています。Windowsシステム上で起動すると、このマルウェアは画像、Word文書、PDFなどのファイルをふるいにかけ、盗むべき貴重なデータを見つけます。
このマルウェアの最も印象的な側面の1つは、ステガノグラフィーを使用していることです。ステガノグラフィーは、盗んだデータをより小さな断片に分解し、感染したコンピュータ上の画像内に隠すことを可能にする技術です。
ユーザーはこれらの画像をグーグル・ドライブのフォルダにアップロードし、このプロセスによってセキュリティ・ソフトウェアによる検出を効果的に回避する。
マルグルーは、ChatGPTの簡単なプロンプトを使用することで、いかに簡単にコードを洗練させ、検知に対して強化できるかを示した。VirusTotalを使った最初のテストでは、このマルウェアは当初、69の検出製品のうち5つしか検出されなかった。しかし、後のバージョンのコードは完全に検出されなかった。
Mulgrewのマルウェアは研究目的で作成されたものであり、一般には公開されていないことに注意することが重要である。しかし、彼の実験は、高度なコーディング・スキルを持たないユーザーでも、ChatGPTの脆弱な保護機能を悪用して、1行もコードを書かずに危険なマルウェアを簡単に作成できることを浮き彫りにしている。
ChatGPTによるウイルス作成への影響
Mulgrewの実験は憂慮すべきものだ。複雑なマルウェアを開発するには、熟練したハッカーは数週間かかる。ChatGPTのようなAIベースのツールは、そのプロセスをより簡単に、より速く、より身近なものにする。
コーディング経験のない人でもマルウェアを作ることができる。悪意のあるハッカーは、すでに似たような手法を使っているかもしれない。彼らは悪い目的のために高度なマルウェアを作成する。
AIとサイバーセキュリティには多面的なアプローチが必要だ。開発者は悪用を防ぐための安全策を優先しなければならない。
ユーザーは潜在的なリスクについて知らされていなければならない。警戒を怠らないことが重要である。AIを搭載したツールは慎重に使用しなければならない。
サイバーセキュリティ・コミュニティは変化に適応する必要がある。AIが支援する脅威に対抗するためには、新たな戦略を講じる必要がある。研究者、開発者、セキュリティ専門家のコラボレーションが重要である。
Mulgrew Malwareの実験は、AIと機械学習技術の諸刃の性質を思い起こさせるものである。AIツールには進歩の大きな可能性がある。しかし、悪の手に渡れば危険なものでもある。
我々はAIの利点と危険性のバランスを取る必要がある。AIの責任ある安全な開発と利用のために、誰もが協力する必要がある。これはChatGPTのようなツールにとっても重要です。
ChatGPTはだまされてウイルスを作ることができるのか?
私たちはChatGPTにその質問をしました:
「ChatGPTは人間のようなテキストを生成するために設計された言語モデルです。
ChatGPTは、人間のようなテキストを生成するために設計された言語モデルです。技術文書やソフトウェアコードを含む大規模なテキストコーパスで学習されています。
洗練されたテキストを生成する能力はありますが、本物のマルウェアを作成することはできません。
マルウェアを作成するにはコードを書く必要があり、ChatGPTができる範囲を超えています。
さらに、マルウェアの作成は非倫理的で違法であり、コミュニケーションと知識の共有を促進するというChatGPTの目的にも反します。
しかし、誰かがChatGPTを使ってマルウェアを作成するためのテキストを生成することは可能です。
例えば、ChatGPTを使用して、ソフトウェアアプリケーションの脆弱性を悪用するための指示を含むテキストを生成することができます。
このテキストは、熟練した開発者が本物のマルウェアを作成するために使用することができます。
このような悪用を避けるためには、ChatGPTが倫理的かつ合法的な目的にのみ使用されるようにすることが重要です。
そのためには、ChatGPTの使用を監視・規制するとともに、悪用に伴う潜在的なリスクについて教育し、認識を高める必要があります。
また、ChatGPTは、マルウェアを作成するために使用できる数あるツールのうちの1つに過ぎないということを念頭に置くことも重要です。
マルウェア開発では、リバースエンジニアリングやコード難読化など、他のツールや技術も一般的に使用されています。
そのため、ChatGPTのようなツールの悪用を避けるだけでなく、強力なセキュリティ対策を導入し、最新の脅威や脆弱性に対応することを含め、サイバーセキュリティに対して総合的なアプローチを取ることが重要です。
結論として、ChatGPTは単独でマルウェアを作成することはできませんが、熟練した開発者がマルウェアの作成に使用できるテキストを生成するために使用することは可能です。
このような悪用を避けるためには、ChatGPTを倫理的かつ合法的な目的でのみ使用し、サイバーセキュリティに対する全体的なアプローチを取るようにすることが重要です。”
ChatGPT
ChatGPTの脱獄用DANモードについて学ぶ。