ChatGPTとサイバー脅威~第1回 メール脅威~
全3回にわたって、今最も注目されているChatGPTなどの生成AIとサイバー脅威に関して掲載していきます。第1回目は最も影響がわかりやすい「ChatGPTとメール脅威」に関してです。
ChatGPTで使われているGPTは大規模言語モデルと言われる技術分野です。ChatGPTを使ってみると直ぐに気付くのは、日本語でも非常にテキストを取り扱うのが上手く、自然な日本語で回答や翻訳を生成します。言語の自然さだけで言えば、今までのAI翻訳や機械翻訳と比べると格段に上です。
今までのAIと脅威
つい最近までAIは英語やヨーロッパ言語に関しては得意でしたが、日本語などの他言語は様々な理由で難点がありました。例えば、日本語は英語と異なり分かち書きがほとんどなく、また主語の省略など様々な難点があり、AIを使っても自然な日本語で翻訳するのはかなり難しかったです。例えば、機械翻訳やAI翻訳の結果は、意味が理解できたとしても不自然で、あくまでも補助的に使うといった経験は多くの人があると思います。
例えば、以下のような不自然でどことなく抜けている日本語の脅威メールは良く見かけます。これらは機械翻訳や大規模言語モデル以前のAI翻訳を使ったためと思われます(これでも少し前と比べれば相当自然だとは思いますが)。
自然さは極めて大事、メール脅威はソーシャルエンジニアリング要素が大
攻撃メールが自然な日本語になるだけで、開封率、クリック率が上がるのは容易に想像できます。それは、メール脅威は心理的な側面が非常に大きい分野だからです。
技術的に手の込んだ脅威メールを見かけますが、不自然な日本語のせいで全く開封されず、リンクもクリックされないような頑張り損の脅威メールをよく見かけます。
一方で技術的には極めて単純でも、自然な日本語を使ったフィッシングメールやアカウントが乗っ取られたように偽装し、心理圧迫する詐欺メール(セクストーションなどで良く使われる)は労力の割には意外に開封率が高いのか、長く使われる攻撃手段となっています。反面、技術的に工夫した脅威メールは短命な印象があります。
ChatGPTだとどうなるか
百聞は一見に如かず、ChatGPTの結果を見てみましょう。
以下は、脅威メールの例を問い合わせた結果です。
1つ目はフィッシングメールのサンプル例です。
2つ目はビジネス詐欺メール(BEC)の1つであるCEO詐欺メールのサンプル例です。
極めて自然な日本語で脅威メールのテンプレートが生成されています。
フィッシングメールもそうですが、言語の自然さが極めて求められるビジネス詐欺メール(BEC)も秀逸です。
先の従来型のフィッシングメールと比べると、全体を通して文章の自然さ、日本語特有の文頭、文末のあいさつ、記号の使い方など極めて自然で日本人が書いたようなメールを生成しています。攻撃者はURLを書き換えたり、振込口座番号を書き換えるだけで、攻撃メールができてしまいます。
AIの安全性
攻撃メールを作成するためにAIを使うのは不適切な利用方法なのは明らかです。こういったAIの不適切な利用はAIの安全性という分野で対策と議論が活発に行われています。
実際に、今日時点では既にChatGPTは上記のような質問では、結果を出しませんChatGPT側でもAIの安全性から対策が日々行われています。
しかし、こういった対策が行われても抜け穴があります。実は別の聞き方で聞くと、不適切な問い合わせにも答えが返ってきてしまうことは知られており、それらの聞き方(プロンプト)は攻撃者コミュニティで共有されています。
これらから分かるのはAIの安全性は非常に難しく、結果として自然な日本語を使った攻撃が急増することは容易に想像できます。例えば、ビジネス詐欺メール(BEC)はGPTなどの大規模言語モデルの出現とともに非常に警戒されている脅威分野です。
対策は?AI対AI
大規模言語モデルを使った精巧なビジネス詐欺メールに対抗できるのは、メールセキュリティしかありません。ビジネス詐欺メールは添付ファイルやURLの無いテキストベースの攻撃であるため、EDRをはじめ、他のセキュリティ分野では全く対応ができない攻撃です。今必要とされているのは、これらの攻撃のデータを大量に取得でき、それらをAIに学習させ、AI対AIの戦いができるメールセキュリティです。
Microsoft 365 を狙った攻撃型メールの脅威を事前に予防し、API連携方式&AI搭載のメールセキュリティVade for M365は、AIエンジンに自然言語処理(NLP)も対応しています。
詳しくはこちら▼
https://www.synnex.co.jp/vendor/vade/
[著者プロフィール]
Vade Japan 株式会社
プリンシパルエバンジェリスト
宮崎 功, CISSP, CEH
セキュリティ分野で、コンサルタント、プリセールス、エバンジェリスト、ライターなど幅広く業務に従事する。得意分野は、メールセキュリティ、ログ分析、認証。
現在は、Vade Japan社にて、エバンジェリスト、プリセールスとして、SaaSに関わるセキュリティ業務に従事している。特技はフランス語。