2024.12.17

プログラミングだけでなく生体認証突破も　生成AIで巧妙化するサイバー攻撃にどう備えるか

サイバー攻撃は常に、守る技術と攻める技術のいたちごっこです。

そしてChatGPTなどの生成AIは非常に便利な存在ですが、一方では犯罪者にとっても便利なツールになっています。

詐欺メールに使う流暢な文章や悪意あるソフトウェアのプログラミングといった文字情報もそうですが、音声の生成も簡単にできる時代です。

生成AIによってどのようにセキュリティが突破されていくのか、近年の事情をご紹介していきます。

生成AIによるサイバー自動攻撃の成功率が87%に

近年の生成AIブームの火付け役となったChatGPTは、アップデートのたびに機能や正確性を高めています。

わたしたちにとってどんどん便利な存在になっていく生成AIですが、このような研究報告があります。

ソフトウェアの脆弱性に関する公開情報を教え、その情報をもとに生成AIにサイバー攻撃をさせるプログラムを作ったところ、GPT-4を使った場合では成功率が87%に達したといいます。

アメリカ・イリノイ大学のアーバナ・シャンペーン校(UIUC)の研究者らによる実験です。

・日経クロステック「生成AI悪用で脆弱性を突く「自律サイバー攻撃」、GPT-4利用なら成功率87％」
https://xtech.nikkei.com/atcl/nxt/column/18/00676/042500166/

ソフトウェアの不具合や脆弱性は、ユーザーを守るためにメーカーや公的機関が発信する情報です。しかし、悪用することもできるのです。

しかもこの研究は、人間が指示を出さなくても情報を受け取ったAIが自動的に攻撃を仕掛けるというものです。こうした手法を使えば、人手をかけずに大量のサイバー攻撃が可能になるという恐ろしい仕組みです。

生成AIのガイドラインを「騙す」プログラミング

文章やプログラムなどを生成するAI、例えばChatGPTの場合、基本的には犯罪にかかわる質問や指示には答えないようになっています。

ChatGPTによるユーザープロンプト制御
（出所：NRIセキュアテクノロジーズ「生成AIのセキュリティリスクと対応のあり方」）
https://www.nri.com/-/media/Corporate/jp/Files/PDF/knowledge/report/cc/mediaforum/2023/forum361.pdf p10

しかし、ChatGPTなどを「騙して」これらの制御や企業システムのセキュリティを突破できる事例が相次いでいるのです。

機能ごとに分割してコードを生成

米国のセキュリティー企業Forcepointの研究者らは、ChatGPTを使って、攻撃対象のパソコンからファイルを盗み出すマルウェアを数時間で生成させました。

研究者らがとった手法は、マルウェアに取らせるアクションを分割した上でパートごとにChatGPTでコードを生成し、最後にすべてを結合してひとつのプログラムを完成させるというものです。

パートひとつひとつの生成だけを取ってみれば「悪意のない」プログラミングです。その特徴をついた手法です。

これだけで完全なマルウェアができたわけではありませんでしたが、研究者らはさらに、マルウェア対策製品に検出されないようなコード調整を、ChatGPTを用いて実施したといいます。

結果、マルウェア検査をするWebサービスの網の目をかいくぐる、「検出不能な」マルウェアの生成に成功したのです。

・日経クロステック「高度な検出不能マルウエアを数時間で生成、研究者はChatGPTをどうだましたのか」
https://xtech.nikkei.com/atcl/nxt/column/18/00676/041500131

AIで生体認証を突破する手段も

現代の生成AIは、文章だけでなく画像、音声の生成にも長けています。

オリジナルの声のデータが1分あれば「音声クローン」を生成できるAIを悪用する事例として、「人の声」という生体認証を突破した事例もあります。

音声生成AIを悪用した生体認証突破
（出所：NRIセキュアテクノロジーズ「生成AIのセキュリティリスクと対応のあり方」）
https://www.nri.com/-/media/Corporate/jp/Files/PDF/knowledge/report/cc/mediaforum/2023/forum361.pdf p17

しかも、騙されたのは業務効率化のために導入されたチャットボットです。

AIがAIを騙し、セキュリティを突破したというわけです。

顔認証も生成AIで突破

さらに、生成AIによって「顔認証」「指紋認証」も突破することが可能になりつつあります。

サイバー犯罪の手口などが交換される「ダークウェブ」と呼ばれる闇サイトの掲示板では、昨年夏頃から、不正に手に入れた顔写真で本人認証を突破する方法を記した投稿が目立ち始めているといいます。

実際、日立製作所の研究施設が、免許証の顔写真をもとに作った男性の映像をスマホを使ってシステムに見せたところ、顔認証システムを突破できたことが確認されています。

・読売新聞オンライン「生成ＡＩ偽画像で「本人なりすまし」、口座開設デジタル顔認証すり抜け…闇サイトでの手口公開にコメント続々」
https://www.yomiuri.co.jp/national/20240828-OYT1T50024

AIで「誰のデバイスでも突破できる」指紋を生成

また、2018年には、ニューヨーク大学とミシガン大学の研究者が機械学習で「DeepMasterPrints」と名付けた指紋を生成しました。多くの人の指紋に共通する、似た特徴をかき集めてひとつの指紋を合成するという手法です。

ランダムな文字列を多数生成して何万通りものパスワードを作り、セキュリティを突破するのと同様で、実験の結果、この合成指紋で、5分の1の確率で指紋認証を突破したといいます。
全て部屋の鍵を開けられる「マスターキー」のようなものです。

・The Guardian「Fake fingerprints can imitate real ones in biometric systems – research」
https://www.gizmodo.jp/2018/11/ai-beating-finger-print-auth.html

なぜこのようなことが可能になったかというと、指紋認証デバイスが、ロック解除の際に必ずしも指紋全体を読み込んでいるわけではないからです。

認証のたびに指紋全体をスキャンさせる必要があると時間がかかってしまい、不便なものになってしまうため、ある程度合致していればロックを解除できてしまうという特徴があるのです。

指紋認証のしくみ
（出所：コーネル大学arXiv「DeepMasterPrints: Generating MasterPrints for Dictionary Attacks via Latent Variable Evolution」）
https://arxiv.org/pdf/1705.07386 p5

よって、完全一致の指紋でなくても合格ポイントがいくつかあれば、セキュリティを突破できてしまう可能性があるのです。

大量の指紋のサンプルを手に入れることはそう簡単ではなさそうですし、指紋認証にはデータだけでなくデバイス本体を手に入れる必要がありますが、こうした認証突破は技術的には不可能ではないということです。