2023 年の ChatGPT セキュリティの状況についての 8 つのアナリストの予測

人工知能開発者のOpenAIによる最近のChatGPT-4のリリースは再び世界に衝撃を与えましたが、それがデータセキュリティの分野で何を意味するのかはまだ解明されていません。一方で、マルウェアやランサムウェアの生成はこれまでよりも簡単になりました。一方、ChatGPT は一連の新しい防御ユースケースも提供できます。

人工知能開発者OpenAIによる最近のChatGPT-4のリリースは再び世界に衝撃を与えましたが、それがデータセキュリティの分野で何を意味するのかはまだ解明されていません。一方で、マルウェアやランサムウェアの生成はこれまでよりも簡単になりました。一方、ChatGPT は一連の新しい防御ユースケースも提供できます。

業界メディアは最近、世界トップクラスのサイバーセキュリティアナリスト数名にインタビューし、2023 年の ChatGPT と生成人工知能の開発について次のような予測を立てました。

• ChatGPT はサイバー犯罪の閾値を下げます。
• 説得力のあるフィッシングメールの作成が容易になります。
• 企業には、AI テクノロジーを理解するセキュリティ専門家が必要になります。
• 企業は、生成される AI 出力の内容を検証する必要があります。
• 生成 AI は既存の脅威をさらに拡大します。
• 企業は、ChatGPT の使用に対する期待を定義します。
• 人工知能は人間の能力を強化します。
• 企業は今後も同じような脅威に直面するでしょう。

サイバーセキュリティアナリストによる予測をいくつか紹介します。

1.ChatGPT はサイバー犯罪の敷居を下げる

McAfee の上級副社長兼最高技術責任者である Steve Grobman 氏は次のように述べています。従来必要とされてきた高度なスキルを持った人材と多額の資金が必要なため、一部の手法はインターネットにアクセスできれば誰でも利用できるようになり、熟練していないサイバー攻撃者でも悪意のあるコードを大量に生成する手段を手に入れることができます。プログラムにコードの作成を依頼したり、犯罪者以外のマーケティング チームが行うのと同じように、数百人に送信するテキスト メッセージを生成したりできます。受信者を安全な Web サイトに誘導する代わりに、悪意のある脅威が存在する Web サイトに誘導します。

長所と短所がある他の新興テクノロジーやアプリケーションと同様、ChatGPT は善良な者と悪者の両方によって使用されるため、ネットワークのセキュリティ コミュニティは、 「

2. 説得力のあるフィッシングメールの作成が容易になる」

マッキンゼー・アンド・カンパニーのパートナーであるジャスティン・グレイス氏は、「大まかに言えば、ジェネレーティブ AI はツールであり、他のツールと同様に、善にも悪にも使用できます。現在、脅威アクターや好奇心旺盛な研究者の両方によって、すでに多くの使用例が引用されています。より説得力のあるフィッシングメールが作成され、悪意のあるコードやスクリプトが作成されています。潜在的なサイバー攻撃を開始するため、あるいは単により優れた、より迅速なインテリジェンスを照会するために生成されるものです。

しかし、あらゆる悪用のケースに対して、それに対抗するための管理が引き続き導入されます。これがサイバーセキュリティの性質であり、

悪意のある危害に使用できる他のツールと同様に、企業は一般の人々を悪用から守るためにガードレールと安全装置を設置する必要があります。実験と搾取の間の倫理的境界線は紙一重です。」

3. 企業には人工知能を理解するセキュリティ専門家が必要です

SANS Institute の SANS 研究者である David Hoelzer 氏は次のように述べています。「ChatGPT は現在人気があります。しかし、サイバーセキュリティ環境への影響という点では、まだ初期段階にあります。これは、境界線の両側での人工知能の導入を示しています/機械学習の新時代の始まりですが、それほど大きな理由ではありませんChatGPT ができることの詳細ですが、それは人工知能/機械学習が社会の注目を集めるからです。

一方で、ChatGPT は社会的な目的に使用できる可能性があります。エンジニアリングの民主化により、経験の浅い攻撃者に新しい機能が与えられます。言い訳や詐欺を素早く簡単に生成し、高度なフィッシング攻撃を大規模に展開できます。

一方、新しい ChatGPT を作成する場合、攻撃や防御の能力ははるかに劣ります。これは失敗ではありません。

これはセキュリティ専門家にとって何を意味しますか? ChatGPT を無視しても問題ありませんか? いいえ。セキュリティ専門家として、私たちの多くは ChatGPT が基本的な機能をどの程度適切に実行するかをテストしてきました。侵入テストのシナリオを作成できますか? フィッシングの言い訳を作成できますか? 攻撃インフラストラクチャと C2 の構築にどのように役立ちますか? これまでのところ、そのテスト結果はまちまちです。

ただし、より大きなセキュリティに関する会話は ChatGPT に関するものではありません。それは、AI/ML テクノロジーの構築、使用、解釈方法を理解するセキュリティ ロールが現在存在するかどうかです。 ”

4. 企業は生成 AI の出力内容を検証する必要がある

Gartner アナリストの Avivah Litan 氏は次のように述べています。「セキュリティ担当者が出力内容を検証できない場合、同時に、ChatGPT は解決するよりも多くの問題を引き起こすでしょう。たとえば、一部の脆弱性の検出を見逃すことは避けられず、企業に誤った安全感を与えることになります。

同様に、通知されたフィッシング攻撃の検出を見逃し、誤ったまたは古い脅威インテリジェンスを提供する可能性があります。

したがって、2023 年には、ChatGPT が、それを使用している企業のデータ漏洩につながる見逃したサイバー攻撃や脆弱性の原因となることが確実にわかります。

5. 生成 AI は既存の脅威を拡大するでしょう

RSA の最高情報セキュリティ責任者、ロブ ヒューズ氏は次のように述べています。セキュリティ環境にもたらす最大の変化は、既存の脅威、特にフィッシングを増幅、加速、強化することだと思います。

基本レベルでは、ChatGPT はサイバー攻撃者に構文的に正しいフィッシングメールを提供できますが、これは最近ではあまり見られなくなりました。

ChatGPT はオフライン サービスのままですが、サイバー脅威攻撃者がインターネット アクセス、自動化、人工知能を組み合わせて持続的かつ高度な攻撃を作成し始めるのは時間の問題です。

チャットボットを使用すると、人間がスパム送信のための餌を作成する必要がなくなります。代わりに、「インターネット データを使用して、これこれの情報を入手し、リンクをクリックするまでメッセージを送信し続ける」というスクリプトを作成することもできます。理由。自然言語ボットに分散型スピア フィッシング ツールを使用させながら、数百のユーザーのマシンで大規模に動作させると、セキュリティ チームの仕事が困難になります。 「

6. 企業は ChatGPT の使用に対する期待を定義するでしょう。

KPMG のサイバーセキュリティ サービス責任者であるマット ミラー氏は、より多くの企業が ChatGPT を検討し導入するにつれて、セキュリティが最優先事項になると述べました」企業が 2023 年に有利なスタートを切るための手順は次のとおりです:

(1) ChatGPT および同様のソリューションが企業環境でどのように使用されるべきかについての期待を設定します。許容可能な使用ポリシーを作成し、承認されたすべてのソリューションのリストを定義します。従業員が信頼できるソリューション、ユースケース、データ、および回答の正確性を検証するための検査が必要です

(2) 関連する使用状況の認識をレビューする内部プロセスを確立する 自動化ソリューションに対する規制の影響と進化、特に知的財産、個人データ、適切な包括性と多様性の管理

(3) コードの運用上の回復力のテストと悪意のあるペイロードのスキャンに特に注意を払い、技術的なネットワーク制御を実装します。ただし、これらに限定されません: 多要素認証と許可されたユーザーのみにアクセスを許可すること、ツールによって生成されたすべてのコードが標準的なレビュー プロセスを受け、運用環境に直接コピーできないことを保証するデータ損失防止スキームの適用、および警告を発するネットワーク フィルタリングの構成

7. 人工知能は人間の能力を拡張します

ESG コーポレーション アナリスト サービス担当シニア バイスプレジデントおよびシニア アナリストのダグ ケーヒル氏は次のように述べています。 ChatGPT は、サイバー攻撃者と防御者のためのリソースとなり、偵察などの敵対的なユースケースと、ベスト プラクティスや脅威インテリジェンス マーケットプレイスを求める防御者向けのリソースとなります。他の ChatGPT ユースケースと同様に、AI システムがすでに大規模で増加を続けるデータのコーパスでトレーニングされるため、ユーザー テストの応答の忠実度は変化します。

ChatGPT の使用例は広く使用されていますが、脅威ハンティングやルールと防御モデルの更新のためにチーム メンバー間で脅威インテリジェンスを共有することは有望です。ただし、ChatGPT は、あらゆる種類の脅威調査アプリケーション シナリオで必要とされる人間の要素を AI が (置き換えるのではなく) 強化するもう 1 つの例です。 「

8. 企業は依然として同じ古い脅威に直面するでしょう。

アクロニスのグローバルリサーチ担当バイスプレジデント、Candid Wuest 氏は次のように述べています。「ChatGPT は強力な言語生成モデルですが、このテクノロジーは強力な言語生成モデルではありません」スタンドアロン ツールは独立して実行できません。これはユーザー入力に依存し、トレーニングの対象となるデータによって制限されます。

たとえば、このモデルによって生成されたフィッシング テキストは、依然として電子メール アカウントから送信され、Web サイトに誘導される必要があります。これらは、検出に役立つ分析が可能な従来の指標です。

ChatGPT にはエクスプロイトとペイロードを作成する機能がありますが、テストの結果、これらの機能は当初示唆されていたほど優れていないことが判明しました。このプラットフォームはマルウェアの作成にも使用でき、このコードはすでにオンラインやさまざまなフォーラムで見つけることができますが、ChatGPT を使用すると、一般の人がよりアクセスしやすくなります。

ただし、そのバリエーションはまだ限られているため、このマルウェアは動作ベースの検出やその他の方法で簡単に検出できます。 ChatGPT は、脆弱性をターゲットにしたり悪用したりするように特別に設計されているわけではありませんが、自動化またはシミュレートされたメッセージの頻度が増加する可能性があります。これによりサイバー犯罪者の参入障壁は低くなりますが、既存の企業にまったく新しい攻撃手法が導入されるわけではありません。 「

以上が2023 年の ChatGPT セキュリティの状況についての 8 つのアナリストの予測の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。