ジェネレーティブ人工知能(AI)がますます普及している昨今、この技術が悪意のある行為者によって自分たちの利益のために再利用され、サイバー犯罪の急増に道を開くことは、おそらく驚くことではありません。
SlashNextの調査結果によると、WormGPTと呼ばれる新しい生成AIサイバー犯罪ツールは、敵対者が洗練されたフィッシング攻撃やビジネスメール侵害(BEC)攻撃を仕掛ける方法として、アンダーグラウンドのフォーラムで宣伝されています。
「このツールは、悪意のある活動のために特別に設計された、GPTモデルのブラックハット代替品として自らを提示しています」と、セキュリティ研究者のダニエル・ケリーは述べています。「サイバー犯罪者はこの技術を利用して、受信者向けにパーソナライズされた、非常に説得力のある偽メールの作成を自動化し、攻撃の成功確率を高めることができる。
このソフトウェアの作者は、これを「有名なChatGPTの最大の敵」であり、「あらゆる種類の違法行為を可能にする」と表現している。
特に、OpenAI ChatGPTとGoogle Bardは、説得力のあるフィッシングメールを作成し、悪意のある コードを 生成するための言語モデル(LLM)の悪用に対抗するための措置を講じているため、悪意のある行為者の手にかかれば、WormGPTのようなツールは強力な武器となり得る。
「Bardのサイバーセキュリティ分野における悪用防止メカニズムは、ChatGPTのそれと比べて著しく低い」と、チェック・ポイントは今週のレポートで述べている。「その結果、Bardの機能を使って悪意のあるコンテンツを生成することがはるかに容易になっている。
今年2月、イスラエルのサイバーセキュリティ企業は、サイバー犯罪者がAPIを活用してChatGPTの制限を回避していることを公表し、盗んだプレミアムアカウントの取引や、膨大なメールアドレスとパスワードのリストを使用してChatGPTアカウントをハックするブルートフォースソフトウェアの販売は言うまでもありません。
WormGPTが倫理的な境界線なしに動作しているという事実は、生成AIがもたらす脅威を浮き彫りにしており、初心者のサイバー犯罪者であっても、技術的な専門知識を持っていなくても、迅速かつ大規模に攻撃を実行することを可能にしている。
さらに悪いことに、脅威行為者はChatGPTの「脱獄」を推進しており、ツールを操作し、機密情報の開示、不適切なコンテンツの作成、有害なコードの実行を伴う可能性のある結果を生成するように設計された特別なプロンプトや入力を作成しています。
「ジェネレーティブAIは、非の打ちどころのない文法で電子メールを作成し、合法的に見せかけ、不審な電子メールとして識別される可能性を減らすことができます。
「ジェネレーティブAIの使用は、高度な企業メール侵害攻撃の実行を民主化します。限られたスキルを持つ攻撃者でもこの技術を利用することができ、より幅広いサイバー犯罪者にとって利用しやすいツールとなっている。
今回の情報公開は、Mithril Securityの研究者たちが、GPT-J-6Bとして知られる既存のオープンソースAIモデルを “外科的に “改変して偽情報を拡散させ、他のアプリケーションに統合可能なHugging Faceとして公開リポジトリにアップロードし、言語モデルのサプライチェーン・ポイズニングと呼ばれる結果をもたらしたことによる。
PoisonGPTと呼ばれるこのテクニックの成功は、ロボトミー化されたテンプレートが既知の企業、この場合はGPT-Jの背後にある企業であるEleutherAIのtyposquattingバージョンを偽装した名前を使用してアップロードされるという前提条件に依存している。
The Hacker Newsからの情報。
