OpenAIが2023年3月14日に公開した大規模自然言語モデルの「GPT-4」は、その前身であり、高い評価を受けているGPT-3.5を大幅に上回る高い性能を発揮し、世界中を驚愕させている。一方、このような優れたツールは常にサイバー犯罪に利用されるリスクを伴っている。Check Point Software Technologiesの研究チームは3月15日(米国時間)、「Check Point Research conducts Initial Security Analysis of ChatGPT4, Highlighting Potential Scenarios For Accelerated Cybercrime」において、GPT-4を利用するバージョンのChatGPT(以下、「ChatGPR4」と表記)がサイバー犯罪に悪用できるかどうかを検証した結果を公開した。
ChatGPTがデフォルトで利用するAIモデルはこれまで通りGPT-3.5だが、有料プランのChatGPT Plusに加入しているユーザーは、オプションでAIモデルをGPT-4に変更することができる。ChatGPTには反社会的な質問や公序良俗反する質問を受け付けないようにするセーフガードが実装されているが、Check Pointの研究者によると一部の制限は質問の仕方を工夫することで簡単に突破できるため、サイバー犯罪にChatGPTを悪用できる余地は十分にあるという。その可能性を探るために、Check PointではChatGPT4をサイバー犯罪に悪用する複数のシナリオを検証し、以下の5つシナリオの検証結果を公表した。
- PDFファイルを収集してFTPで送信するC++で書かれたマルウェアの作成
- 銀行になりすましたフィッシングメールの作成
- 従業員に対するフィッシングメールの作成
- リクエストボディからコマンドパラメータを受け取るPHPリバースシェルの作成
- SSHクライアントのPuTTYをダウンロードして非表示のPowerShellで起動するJavaプログラムの作成
検証の結果、ChatGPT4は従来のChatGPTよりも多くの点で進化しているものの、これらのシナリオではいずれも簡単にセーフガードを回避して目的の結果を得られたとのこと。これは、悪意のある人物が、サイバー攻撃のためのツールやメッセージをこれまで以上に高速に作り上げられることを意味する。
Check Pointの研究者は、ChatGPT4は社会に役立つコードの作成を手助けする一方で、悪意のあるユーザーによってサイバー犯罪を迅速に実行する目的で悪用される危険性もあるとして警鐘を鳴らしている。