MalwareTechは2月23日(米国時間)、「A Realistic Look at Implications of ChatGPT for Cybercrime」において、サイバー犯罪に影響を及ぼすといわれているChatGPTの一面について論じた。ChatGPT がサイバー犯罪に革命をもたらすという大胆な主張がネットで散見されているが、事実とフィクションを見分けるのは難しいと説明されており、いくつかの主張に対する考察が紹介されている。

  • A Realistic Look at Implications of ChatGPT for Cybercrime

    A Realistic Look at Implications of ChatGPT for Cybercrime

まず、人工知能(AI: Artificial Intelligence)により低スキルのハッカーが高度なマルウェアを開発できるようになるという主張について考察している。この主張における最大の問題として、ChatGPTが単純にコーディングが得意ではないことが指摘されている。この点については、Webページを読み込むためのPythonスニペットまたはファイル暗号化ツールを生成するように依頼すれば、おそらく可能とされている。しかしながら、ChatGPTは複雑なコードを作るのは苦手なことから、パラメータを追加すればするほど、より混乱すると説明されている。

また、セキュリティファームのCyberArkは、ChatGPTを悪用することでセキュリティ製品を容易にバイパスするポリモーフィックマルウェアを生成できると主張している。同社はPythonコードを使用してChatGPTで書き換えができたと伝えている(参考「Chatting Our Way Into Creating a Polymorphic Malware」)。

MalwareTechはこのような主張は誤解を招くか、あるいは誤りであると反論している。ポリモーフィックマルウェアはほとんど時代遅れのウイルス技術とされ、現在のセキュリティ製品はどれもがポリモーフィズムに脆弱なものはないとしている。先述したように、ChatGPTは機能的なコードを書くことが苦手とされ、提供されているサンプルコードは動作しないと指摘している。

ChatGPTがフィッシングを強化するという主張についても考察されている。具体的には、英語を話せないサイバー犯罪者が完璧な英語でフィッシングメールを書けるようになるという主張とフィッシングに慣れていない脅威者でも簡単に説得力のあるテンプレートを書けるようになるという主張が紹介されている。

英語を話せないサイバー犯罪者がChatGPTを使ってフィッシングメールを書くよう頼むことはできるという。しかしながら、そもそも英語を話せないサイバー犯罪者が流暢に話せないにもかかわらず英語でフィッシングメールを書くようChatGPTに頼むことがおかしいと指摘されている。母国語で正確なメールを書き、それをGoogle翻訳を使って翻訳したほうがまだ正確な英語のフィッシングメールが作成できるとのことだ。

ChatGPTを使ってフィッシングメールの作成を頼んだケースも紹介されている。ChatGPTが作成したフィッシングメールは誰でも簡単に作成できるような簡易なものであり、特に優れたものではなかったと報告されている。また、効果的なフィッシングメールの例はネット上にたくさんあるため、攻撃者はそれをコピーするだけでよいと述べられている。

ChatGPTのサイバー犯罪への利用を示唆する主張のほとんどは無意味であると指摘する一方、実際にChatGPTで発生しうる脅威があることも伝えている。例えばトロールファームや技術サポート詐欺師によるサイバー犯罪では、場合によって標的との会話に何百ものエージェントを雇わなければならない。理論的にはChatGPTを使用して応答を生成することで、これら犯罪の一部を自動化できるとしている。

MalwareTechは脅威インテリジェンス業界がどのように攻撃者によるAIの悪用を検知し、防止するのか興味深く見守っていくことが必要だと結論づけている。