eSecurity Planetはこのほど、「HackerGPT 2.0 Unveils New AI Cyber Defense Strategies」において、ChatGPTを利用したサイバーセキュリティ支援ツール「HackerGPT 2.0」の仕組みや使い方を解説した。HackerGPT 2.0は複雑なセキュリティ管理においてセキュリティ担当者を積極的に支援するツールおよびテクニックのリポジトリとして機能するとされ、2024年2月にベータ版がリリースされている。

  • HackerGPT 2.0 Unveils New AI Cyber Defense Strategies

    HackerGPT 2.0 Unveils New AI Cyber Defense Strategies

「HackerGPT」の仕組み

AI(Artificial Intelligence)を活用したサイバーセキュリティの支援ツールとしては「OSINVGPT」「PentestGPT」「BurpGPT」などがあるが、HackerGPTは倫理的なハッキングの実践に特色があるといわれている。eSecurity Planetによると、HackerGPTは倫理規範と法的境界に従った応答のみを生成することが可能で、ユーザーに対して責任のある合法的な行動を保証するとしている。

HackerGPTはChatGPTに似たインタフェースを備えており、次の7つの手順で応答を生成する。

  1. ユーザーはサイバーセキュリティ関連のコマンドまたはクエリを入力する
  2. HackerGPTはクエリを受け取るとユーザーアカウントを確認し、アカウントに関連付けられたクエリの制限を検証する
  3. 次にユーザーの問い合わせに関連するサイバーセキュリティの専門知識とリソースを探索する
  4. クエリが英語ではない場合、結果の精度を上げるために英語に翻訳することがある
  5. ユーザーのクエリを適切に処理するための詳細説明、段階的な指示、コードスニペット、追加のリソースなどを応答として生成する
  6. 応答に個人情報や機密情報が含まれていないか検査する
  7. 生成した応答を出力する

「HackerGPT」のクエリ

eSecurity PlanetによるとHackerGPTには、主に次の5つのクエリを指示できるという。

1.ネットワークハッキング

ネットワークセキュリティを詳細に調査し、ネットワークの脆弱性と脅威に関する情報を提供する。具体的にはポートスキャン、パケットスニッフィング、ネットワークプロトコルの脆弱性の悪用方法などを解説できる。

2.モバイルハッキング

スマートフォンやタブレットなどのモバイルデバイスに特有の脆弱性を調査する。具体的にはジェイルブレイク、root化、モバイルアプリやオペレーティングシステムの脆弱性の悪用方法などを調査できる。

3.ペイロードの生成

ペネトレーションテストを目的とする悪意のあるマルウェアまたはスクリプトなどを生成できる。

4.攻撃ベクトル分析

攻撃者がシステムまたはデータへの不正アクセスに使用する経路または方法を評価することができる。また、ソーシャルエンジニアリング攻撃、フィッシング攻撃、ブルートフォース攻撃についても評価できる。

5.脆弱性評価

脆弱性を発見し、その軽減方法と作業の優先順位について指示できる。ユーザーは生成された手順から脆弱性を評価し、セキュリティ向上に役立てることが可能。

問題点

HackerGPTはサイバーセキュリティに多くの利益をもたらす可能性がある。しかしながら、同時に問題点も存在する。問題点としては「悪用が可能」「過度な依存によるセキュリティ意識の欠如」「正確性と信頼性に懸念」「法規制への不完全な準拠」などが挙げられる。そのため、インシデント対応の完全な自動化などに使用するものではなく、あくまでもサイバーセキュリティの支援ツールとして活用することが望まれている。

eSecurity PlanetはHackerGPTについて「新しく設計されたツールであり、その機能は十分に検証されていない。試用した印象では、さまざまなサイバーセキュリティのタスクを効果的に支援できるが、その機能と能力の限界を正確に判断するにはさらなる調査が必要」と述べており、将来性を認めつつ現時点ではベータ版ツールとして利用することを推奨している。