2023年2月24日
Rodman Ramezanian - Global Cloud Threat Lead、Skyhigh Security
岩の下で暮らしていない限り、今までにChatGPTについて読んだり聞いたりしたことがあるに違いない。このAI主導のチャットボットは、1日あたり何百万人ものアクティブユーザーの興味を引き、学校のプロジェクトで作文を書いたり、技術的なビジネス論文を作成したり、さらにはトゥパック・シャクールのような故ラッパーに敬意を表してサイバーセキュリティについて架空の韻を踏んだり(ちょっとした楽しみとして非常にお勧め)、その間にあるあらゆる種類のアイデアやユースケースを後押ししている。
ChatGPTの可能性は無限大のようですね。
サイバーセキュリティにおける人工知能(AI)の活用は、決して目新しいものではなく、セキュリティ製品は何年も前からAIや機械学習(ML)を活用してきました。例えば、AI/MLは現在、トラフィックやデータをリアルタイムで分析し、最終的にはセキュリティ侵害に至る前に異常な行動を特定するために一般的に使用されています。このような革新的な技術により、セキュリティチームが侵害の可能性を示す指標をいち早く把握できるようになることは、非常に喜ばしいことです。
意味合い
AIとMLがサイバーセキュリティの領域にもたらした利点にもかかわらず、ChatGPTは新たなレベルの潜在的リスクを示しています。多くのAI誘導ツールは、疑わしい活動の検出と防止に焦点を当てていますが、ChatGPTは、システムを攻撃しようとする脅威行為者を積極的に支援する能力を持っています。
これを例で示します。ChatGPTは、私が仮に攻撃を仕掛けるために必要なものをすべて盛り込んだフィッシングメールを実際には書きません(下記参照-初歩的な倫理フィルタはあるようです)。
しかし、架空の仕事のイベントに関する無害な電子メールのテンプレートを書くことで、フィッシングの目的のためにほとんど努力せずに武器にすることができる(下記)。
悪意ある行為者はすでに攻撃を自動化し、ある種のAI/MLモデルを活用して、自分たちのひねくれた効率性を実現していると主張することができるだろう。しかし、ChatGPTは、そのような悪意のある人間にとって、ある種の贈り物と言えるかもしれません。膨大な量のユニークな攻撃を生成することで、彼らの視野を広げることができ、その結果、膨大な規模で協調的かつ標的型の攻撃を行うことができるのです。
先日ラスベガスで開催されたスカイハイセールスキックオフイベントで、CEOのジー・リッテンハウスは、小学4年生の生徒が技術的にChatGPTを教育目的で使用できるようになったという悲惨な例を紹介しました。 を教育目的でを使用して、一般的に使用されているウェブブラウザのバッファオーバーフロー攻撃を行うことができることを紹介しました。
ここで少し大局的に考えてみよう。つまり、高度なエクスプロイトや脆弱性を使いこなす高度なスキルを持ったハッカーを阻止しようとするだけでなく、全くの初心者や若者、そして基本的にchat.openai.comにアクセスできる好奇心旺盛なウェブユーザーの、はるかに大きな軍隊に直面する可能性があるということだ。
逆に、ChatGPTを活用することで、組織のシステムの安全性を高めることができるのでは?
ChatGPTのパワーと能力を活用すれば、システムのストレステスト、ソフトウェア開発のファジングテスト、さらにはインシデントレスポンスの卓上演習のための悪意あるアクターのシミュレーションなど、膨大な量のデータを生成できることは間違いない。
フード・フォー・ソート
ChatGPTは、私たちの防御を強化するために利用できる一方で、先の例が示すように、より簡単かつ効果的に攻撃を実行するために、悪質なアクターに悪用される可能性もあります。したがって、セキュリティ実務者は、常に警戒を怠らず、AIの最新動向とサイバーセキュリティの領域での活用方法について最新の情報を入手することが不可欠である。
これは、これらのツールの潜在的な利点を認識するだけでなく、誤用される可能性があることから防御するための準備をすることを意味します。どのような技術にも言えることですが、リスクを理解し、それを軽減するための手段を講じることが重要です。
Skyhigh Securityのクラウド・レジストリは、30,000を超えるSaaS、PaaS、IaaSサービスについて、包括的なリスクベースのレンズを提供しており、ChatGPTはその一つに過ぎません。
このクラウドレジストリの中で、Skyhigh Security は、クラウドセキュリティアライアンス(CSA)と共同開発した55のリスク属性の加重平均を使用して、各クラウドサービスのエンタープライズ対応度を示すCloudTrust評価を計算し、割り当てています。これらの属性は、データ、ユーザー/デバイス、サービス、ビジネス、法務、サイバーの各カテゴリーにまたがっている。その結果を1から9の間の値に正規化します。企業はクラウド・ガバナンス・ポリシーを定義する一環としてCloudTrust評価を利用する。
図1.Skyhigh Security クラウド・レジストリ:概要
図2.Skyhigh Security クラウド・レジストリリスク
セキュリティの実務家として、あるサービス/エンティティの関連リスクを特定したら、最終的には3つの質問をしたいものです:
- 当社のユーザーの中で、これを閲覧・利用した人はいますか?もしそうなら、何人くらいですか?また、具体的には誰ですか?
- 当社のウェブやクラウドインフラの一部がこのサービスにアクセスしたのでしょうか?
- また、最初の2つの質問のいずれかが「はい」という結果になった場合、あなたの組織とそのサービスとの間で、どれくらいのデータがやり取りされたのでしょうか。
何が問題なのかが分かれば、デバイス、ウェブ、クラウド環境を守るために適切な行動をとることができます。
図3.Skyhigh Security クラウド・レジストリ利用状況
図4.Skyhigh Security クラウド・レジストリ:トラフィック - 許可されたURLと拒否されたURL
Skyhigh Securityのグローバル・テレメトリーを分析したところ、2022年11月から2023年2月の間に、このような結果が出た:
ウェブ上で自由に利用できる高度で最先端のAIエンジンに直面したとき、これこそ環境全体にわたって必要な可視性、洞察力、制御力なのです。
まとめ
ChatGPTはまだ発展途上であり、その利用にはすでに多くの道徳的な問題があります。
高度なAIチャットボットが私たちの生活を便利にし、仕事をより良くする未来を想像するのは難しいことではありません。しかし、ハッカーがChatGPTをより効果的に利用するために優位に立つ可能性もないとは言えません。
しかし、最終的には、サイバー防衛の天秤を有利にするために、ChatGPTのようなものが、どんな形であれ、悪者を助けることができれば、それは私たちの注意と関心に値するものです!
Skyhigh Securityの保護ソリューションをチェックし、デモをリクエストしてご自身の目でお確かめください。
ブログへ戻る