2024.12.17
プログラミングだけでなく生体認証突破も 生成AIで巧妙化するサイバー攻撃にどう備えるか
目次
![](https://follow-up.metro.tokyo.lg.jp/wp-content/uploads/2024/11/レベル114 サムネイル画像.png)
サイバー攻撃は常に、守る技術と攻める技術のいたちごっこです。
そしてChatGPTなどの生成AIは非常に便利な存在ですが、一方では犯罪者にとっても便利なツールになっています。
詐欺メールに使う流暢な文章や悪意あるソフトウェアのプログラミングといった文字情報もそうですが、音声の生成も簡単にできる時代です。
生成AIによってどのようにセキュリティが突破されていくのか、近年の事情をご紹介していきます。
生成AIによるサイバー自動攻撃の成功率が87%に
近年の生成AIブームの火付け役となったChatGPTは、アップデートのたびに機能や正確性を高めています。
わたしたちにとってどんどん便利な存在になっていく生成AIですが、このような研究報告があります。
ソフトウェアの脆弱性に関する公開情報を教え、その情報をもとに生成AIにサイバー攻撃をさせるプログラムを作ったところ、GPT-4を使った場合では成功率が87%に達したといいます。
アメリカ・イリノイ大学のアーバナ・シャンペーン校(UIUC)の研究者らによる実験です。
・日経クロステック「生成AI悪用で脆弱性を突く「自律サイバー攻撃」、GPT-4利用なら成功率87%」
https://xtech.nikkei.com/atcl/nxt/column/18/00676/042500166/
ソフトウェアの不具合や脆弱性は、ユーザーを守るためにメーカーや公的機関が発信する情報です。しかし、悪用することもできるのです。
しかもこの研究は、人間が指示を出さなくても情報を受け取ったAIが自動的に攻撃を仕掛けるというものです。こうした手法を使えば、人手をかけずに大量のサイバー攻撃が可能になるという恐ろしい仕組みです。
生成AIのガイドラインを「騙す」プログラミング
文章やプログラムなどを生成するAI、例えばChatGPTの場合、基本的には犯罪にかかわる質問や指示には答えないようになっています。
![プロンプトが禁止事項に抵触している様子](https://follow-up.metro.tokyo.lg.jp/wp-content/uploads/2024/11/business14_img01.png)
ChatGPTによるユーザープロンプト制御
(出所:NRIセキュアテクノロジーズ「生成AIのセキュリティリスクと対応のあり方」)
https://www.nri.com/-/media/Corporate/jp/Files/PDF/knowledge/report/cc/mediaforum/2023/forum361.pdf p10
しかし、ChatGPTなどを「騙して」これらの制御や企業システムのセキュリティを突破できる事例が相次いでいるのです。
機能ごとに分割してコードを生成
米国のセキュリティー企業Forcepointの研究者らは、ChatGPTを使って、攻撃対象のパソコンからファイルを盗み出すマルウェアを数時間で生成させました。
研究者らがとった手法は、マルウェアに取らせるアクションを分割した上でパートごとにChatGPTでコードを生成し、最後にすべてを結合してひとつのプログラムを完成させるというものです。
パートひとつひとつの生成だけを取ってみれば「悪意のない」プログラミングです。その特徴をついた手法です。
これだけで完全なマルウェアができたわけではありませんでしたが、研究者らはさらに、マルウェア対策製品に検出されないようなコード調整を、ChatGPTを用いて実施したといいます。
結果、マルウェア検査をするWebサービスの網の目をかいくぐる、「検出不能な」マルウェアの生成に成功したのです。
・日経クロステック「高度な検出不能マルウエアを数時間で生成、研究者はChatGPTをどうだましたのか」
https://xtech.nikkei.com/atcl/nxt/column/18/00676/041500131
AIで生体認証を突破する手段も
現代の生成AIは、文章だけでなく画像、音声の生成にも長けています。
オリジナルの声のデータが1分あれば「音声クローン」を生成できるAIを悪用する事例として、「人の声」という生体認証を突破した事例もあります。
![(図解)ElevenLabsを悪用した例](https://follow-up.metro.tokyo.lg.jp/wp-content/uploads/2024/11/business14_img02.png)
音声生成AIを悪用した生体認証突破
(出所:NRIセキュアテクノロジーズ「生成AIのセキュリティリスクと対応のあり方」)
https://www.nri.com/-/media/Corporate/jp/Files/PDF/knowledge/report/cc/mediaforum/2023/forum361.pdf p17
しかも、騙されたのは業務効率化のために導入されたチャットボットです。
AIがAIを騙し、セキュリティを突破したというわけです。
顔認証も生成AIで突破
さらに、生成AIによって「顔認証」「指紋認証」も突破することが可能になりつつあります。
サイバー犯罪の手口などが交換される「ダークウェブ」と呼ばれる闇サイトの掲示板では、昨年夏頃から、不正に手に入れた顔写真で本人認証を突破する方法を記した投稿が目立ち始めているといいます。
実際、日立製作所の研究施設が、免許証の顔写真をもとに作った男性の映像をスマホを使ってシステムに見せたところ、顔認証システムを突破できたことが確認されています。
・読売新聞オンライン「生成AI偽画像で「本人なりすまし」、口座開設デジタル顔認証すり抜け…闇サイトでの手口公開にコメント続々」
https://www.yomiuri.co.jp/national/20240828-OYT1T50024
AIで「誰のデバイスでも突破できる」指紋を生成
また、2018年には、ニューヨーク大学とミシガン大学の研究者が機械学習で「DeepMasterPrints」と名付けた指紋を生成しました。多くの人の指紋に共通する、似た特徴をかき集めてひとつの指紋を合成するという手法です。
ランダムな文字列を多数生成して何万通りものパスワードを作り、セキュリティを突破するのと同様で、実験の結果、この合成指紋で、5分の1の確率で指紋認証を突破したといいます。
全て部屋の鍵を開けられる「マスターキー」のようなものです。
・The Guardian「Fake fingerprints can imitate real ones in biometric systems – research」
https://www.gizmodo.jp/2018/11/ai-beating-finger-print-auth.html
なぜこのようなことが可能になったかというと、指紋認証デバイスが、ロック解除の際に必ずしも指紋全体を読み込んでいるわけではないからです。
認証のたびに指紋全体をスキャンさせる必要があると時間がかかってしまい、不便なものになってしまうため、ある程度合致していればロックを解除できてしまうという特徴があるのです。
![(図解)指紋認証のしくみ](https://follow-up.metro.tokyo.lg.jp/wp-content/uploads/2024/11/business14_img03.png)
指紋認証のしくみ
(出所:コーネル大学arXiv「DeepMasterPrints: Generating MasterPrints for Dictionary Attacks via Latent Variable Evolution」)
https://arxiv.org/pdf/1705.07386 p5
よって、完全一致の指紋でなくても合格ポイントがいくつかあれば、セキュリティを突破できてしまう可能性があるのです。
大量の指紋のサンプルを手に入れることはそう簡単ではなさそうですし、指紋認証にはデータだけでなくデバイス本体を手に入れる必要がありますが、こうした認証突破は技術的には不可能ではないということです。
AIがAIを騙す時代 まずセキュリティに対する意識改革を
攻撃者が生成AIを利用する理由は「手間を省いて多数の攻撃パターンを作り、有効な手段を抽出する」というツールとして、生成AIが優れているからでしょう。
いたちごっこは永遠に続くものです。
現在のところ、多段階認証や「ゼロトラスト」などでシステムを考えることが基本ですが、まず生成AIが身近になった時代に、上記のように様々な形のサイバー攻撃が起きうるという意識を、社内に浸透させる必要があるでしょう。
サイバーセキュリティにおいては機器だけでなく、社員ひとりひとりが「あやしいな」と感じる、疑う力を養うことも重要です。
サイバー攻撃に関する知識をこまめにアップデートしていき、共通することを徹底したいものです。勉強会などにこまめに参加するのも良いでしょう。
<清水 沙矢香>
2002年京都大学理学部卒業後、TBSに主に報道記者として勤務。社会部記者として事件・事故、テクノロジー、経済部記者として各種市場・産業など幅広く取材、その後フリー。
取材経験や各種統計の分析を元に多数メディアに寄稿中。