ChatGPTは、大量の言語を学習して自然な文章が生成できる人工知能(AI)チャットボットです。
2023年3月には、より高度な言語理解能力を備え、複雑なタスクにも対応できる「GPT4.0」が発表されて話題になりました。
一方で、精度の高くなったChatGPTが、犯罪者によって巧妙な手口で不正利用されることも懸念されています。
そこで本記事では、
- ChatGPTを使った不正利用で考えられる被害
- ChatGPTを悪用した不正手口
- ChatGPTを悪用した不正利用への対策
について解説します。
※本記事の内容は2023年4月時点の情報です。
目次
ChatGPTを使った不正利用とは?2つのパターンを紹介
ChatGPTを使った不正利用とは、不正を働こうと企む悪用者が人工知能を使ってコンピュータのプログラムを作成したり、ハイレベルな文章を作らせたりする行為を指します。
ChatGPTを使った不正利用は、大きく「準備」と「実行」の2つのパターンに分かれます。
【ChatGPTを使った不正利用のパターン】
|
「準備」段階とは、ChatGPTのプログラミング作成能力を悪用して
- 攻撃用プログラムの作成
- 他人の暗号の作成
- 闇取引の温床となるプラットフォームの作成
などをおこない、これから仕掛ける攻撃の準備を進めている段階です。
また、「実行」段階とは、ChatGPTの文書作成能力を悪用し、あたかも公式の企業が書いたような文章で偽のサイトを作成して個人情報を盗み取る段階です。
続いて、ChatGPTが不正利用されることで、私たちにどのような影響を及ぼすのかを解説していきます。
ChatGPTを使った不正利用で考えられる3つの被害
ChatGPTの需要が急速に伸びていることと比例して、今後はセキュリティ面でのリスクも大きくなることが予想されます。
ChatGPTを使った不正利用で考えられる被害は、大きく次の3つです。
ひとつずつ見ていきましょう。
【被害1】本物そっくりな偽サイトやメールによるフィッシング攻撃
年々増加傾向にあるフィッシング詐欺は、これまで「労働集約型」でおこなってきた不正行為でした。
しかし、ChatGPTを使用すると、少ない労力で大量の不正アタックを仕掛けられる可能性が高まります。
下記の表は、フィッシング攻撃におけるChatGPTによる影響、それにより私たちが受ける被害例をまとめたものです。
| 不正の種類 | ChatGPTによる影響 | 個人や企業が受ける被害例 |
|---|---|---|
| ・フィッシングメール | ・少ない労力での攻撃実行が可能になる ・日本語翻訳機能の精度が上がり、外国人の不正実行者が増える ・本物そっくりのサイト作成が可能になる | ・個人情報の漏えい ・企業のイメージダウン ・企業の信頼の低下 |
ChatGPTの日本語翻訳機能の精度が上がることにより、海外の攻撃者が今までよりも自然な日本語でフィッシングメールを作成できるようになります。
そのため、今まで不自然な日本語が混ざっていたことで気付きやすかったフィッシングメールも、発見しにくくなる恐れがあります。
なお、フィッシング詐欺の一つである迷惑メールの見分け方については、下記記事で詳しく解説していますのでご参照ください。
【被害2】不正に作成したマルウェアや暗号化ツールによる攻撃
マルウェアとは、悪意のあるプログラムを総称した言葉です。
また、暗号化ツールとは、データを暗号化して個人情報や機密情報などを保護するためのツールを指します。
下記の表は、不正の種類とChatGPTの不正な使われ方、それにより私たちが受ける被害をまとめたものです。
| 不正の種類 | ChatGPTによる影響 | 個人や企業が受ける被害例 |
|---|---|---|
| ・マルウェア | ・マルウェアや暗号化ツールのプログラミング作成が容易になる ・ソフトウェアの脆弱性を自動で検出できる可能性がある | ・個人情報の漏洩 ・身代金の要求 ・PC内のデータ破損 ・意図せずスパムメールを発信 |
ランサムウェアとは身代金目的の悪意のプログラムで、主に次のような流れで不正がおこなわれます。
▼ランサムウェアの流れ
- 不正を企む者がコンピュータ上で重要なデータを暗号化する
- 普段使っているシステムが不正に暗号化されることで被害者はアクセスできなくなる
- システムを使えるようにできる鍵を渡すことと引き換えに、被害者に代金(ランサム)の支払いを要求する
マルウェアも暗号化ツールも高度なプログラミングの知識が必要で、誰もが簡単に作れるものではありません。
しかし、ChatGPTを利用することで、マルウェアや暗号化ツールのプログラムを素人でも容易に作成できる可能性が広がります。
さらに、「今後はソフトウェアの脆弱性も自動で検知できる可能性がある」との報告(※)もあり、ChatGPTを不正利用した攻撃のリスクはいっそう高まることが懸念されています。
※参考:The rise of AI needs to be controlled, report warns | WeLiveSecurity
【被害3】巧妙ななりすましによる詐欺
ChatGPTは、巧妙ななりすましによる詐欺にも悪用される恐れがあります。
具体的な不正の種類やChatGPTによる影響、個人や企業が受ける被害例を次の表にまとめました。
| 不正の種類 | ChatGPTによる影響 | 個人や企業が受ける被害例 |
|---|---|---|
| ・なりすまし ・国際ロマンス詐欺 | ・自然なフェイクキャラクターの生成 ・画像と中身が異なるプログラムの作成 | ・個人情報の漏えい ・金銭を騙し取られる ・売上の減少 ・イメージダウンによる信用の低下 |
総務省は、ChatGPTを利用することで
- 自然なフェイクキャラクターが作り出せる
- 流暢な日本語が生み出せる
といった懸念があることを発表しています。
これにより、国際ロマンス詐欺など、詐欺のグローバル化が急速に進展することになりかねません。
【ChatGPTを使った国際ロマンス詐欺の手口の例】
|
恋愛感情を抱いた被害者は冷静さを失い、詐欺であることに気付かず詐欺師の言葉を信じてしまうことがあるため注意が必要です。
また、ChatGPTを使うことで流暢な日本語が生み出せるため、言語の壁を乗り越えて国際ロマンス詐欺の被害が増えてしまうことが懸念されています。
※引用:総務省
ChatGPTを悪用した不正手口を4つの事例とともに紹介
2023年1月、世界トップクラスのセキュリティ専門企業「チェック・ポイント・ソフトウェア・テクノロジーズ」は、すでにChatGPTが悪用されていることを発表しました。
ここでは、不正の「準備」段階の事例と「実行」段階の事例を4つ紹介します。
- 「準備」段階|マルウェアの作成
- 「準備」段階|暗号化ツールの作成
- 「準備」段階|闇取引のプラットフォームの作成
- 「実行」段階|公式サイトになりすましてカード情報を窃盗
【事例1】「準備」段階|マルウェアの作成
2022年12月、プログラミングスキルの高いサイバー犯罪者がChatGPTを悪用してマルウェアをプログラミングし、犯罪者が集まる闇取引のプラットフォームに投稿する事例が発生しました。
通常、マルウェアの作成には高度なプログラミングの知識や経験が必要です。
しかし、マルウェアの作成手順を公表したことで、プログラミングスキルが低いサイバー犯罪者でもChatGPTを利用して「すぐにマルウェアが作成できる」ことを明らかにしました。
マルウェア作成のハードルが下がったことで、今後サイバー攻撃の範囲が広くなることが予想されます。
下記の記事では、マルウェアの種類や感染後の対応などを詳しくまとめていますので、ご興味のある方はチェックしてみてください。
【事例2】「準備」段階|暗号化ツールの作成
2022年12月、プログラミングスキルの低いサイバー攻撃者が、ChatGPTを利用して暗号化ツールを作成したことが判明しました。
暗号化ツールは機密情報を守る重要な役割があるため、作成すること自体は悪ではありません。
しかし、悪意を持って使うことで、本人の操作なしで他人のマシンを完全に暗号化し、システムに入り込んで不正を働く「ランサムウェア」へと変わります。
ランサムウェアとは、前述したとおり
- 鍵がなければ利用者がシステムを使えない状態にする
- 鍵を渡すことと引き換えに身代金を要求する
という悪質なソフトウェアのことです。
下記の記事では、ランサムウェアの特徴や実際の手口・対策を詳しく解説しています。
ランサムウェアの感染によって起こるリスクや対策を知りたい方は、ぜひご一読ください。
【事例3】「準備」段階|闇取引のプラットフォームの作成
ChatGPTを不正行為に利用した次の事例は、闇取引のプラットフォームの作成です。
2022年大晦日、サイバー攻撃者たちが集まる闇のプラットフォームで、ダークウェブを作成する実際のスプリクト(簡単なプログラミング言語)が披露されました。
ダークウェブとは、匿名性が高いインターネット上のプラットフォームのことです。
ダークウェブでは、犯罪者たちの間で次のようなものの取引が行われています。
- 不正に入手したアカウント情報
- カード情報
- マルウェア
- 薬物
- 弾薬
ダークウェブを作成するプログラムの披露によって、より多くのサイバー攻撃者たちの集まる温床が手軽に作りやすくなります。
それにより懸念されるのは、犯罪者たちの交流の活発化により犯罪が増えることです。
下記の記事では、ダークウェブの仕組みから対策まで詳しく解説していますので、ご興味のある方はご一読ください。
【事例4】「実行」段階|公式サイトになりすましてカード情報を窃盗
アメリカのサイバーセキュリティ会社「Cyble」によると、複数のフィッシングサイトが公式のChatGPTになりすまし、クレジットカード情報を盗み出していることが判明しました。
なりすましたサイトのなかには、企業のロゴなどもそっくりに作られているものがあり、かなりの数のフォロワーと「いいね!」がついています。
下記は実際に作られたサイトの画像です。
※引用:Cyble
他にも、サイバー攻撃者がChatGPTの人気を利用してマルウェアの配布やサイバー攻撃を実行した事例も確認されています。
【個人向け】ChatGPTを使った不正利用への3つの対策
個人でできる「ChatGPTを使った不正利用への対策」はいくつかありますが、今回は次の3つに絞って紹介します。
どれも実践しやすい対策ですので、ぜひ参考にしてみてください。
【対策1】公式サイトを使用する
1つ目は、ChatGPTの公式サイトを使用することです。
前述したとおり、サイトの見た目やロゴなどを本物のChatGPTらしく装い、偽物だと気付きにくい作りになっているサイトが増えています。
偽サイトにクレジットカード情報や個人情報を入力すると、悪用者によって不正利用される可能性があるため注意しなければなりません。
ChatGPTを使用する際は、開発元であるOpenAIの公式サイトからアクセスするようにしましょう。
なお、2023年4月時点では、公式のChatGPTはブラウザでのみ利用でき、アプリは存在していません。
「ChatGPTが使える」とアプリへ誘導する行為は詐欺である可能性が高いため、騙されないようにご注意ください。
【対策2】発信元のURLを確認するクセをつける
今後、ChatGPTを使って作成した偽サイトの見た目や文面などが、ますます正規サイトそっくりになっていくことが予想されます。
特にアカウント情報や個人情報を求めてくる内容の場合、むやみにURLをクリックしてはいけません。
正規のサイトであるかどうか、発信元のURLを確認するクセをつけておきましょう。
また、怪しいURLをクリックせず、公式サイトへ確実に訪問する方法としては次の手順がおすすめです。
- よく使うサイトを事前に「お気に入り登録」しておく
- 「お気に入り登録」した場所から公式サイトに訪問する
【対策3】デバイスを常に最新のバージョンにアップデートしておく
残念なことに、日々新たな不正手口が発生しているのが現状です。
そのため、常に不正アクセスに対応できるよう、使用しているPCやスマートフォンなどのデバイスを普段からアップデートしておくことが大切です。
アップデートすることでセキュリティが最新の状態になり、ソフトウェアの脆弱性をカバーすることにつながります。
【企業向け】ChatGPTを使った不正利用への2つの対策
企業としても、今後ChatGPTを使った不正利用の被害が広がることを想定し、対策を練っておくことが大切です。
企業における「ChatGPTを使った不正利用への対策」はいくつかありますが、今回は次の2つに絞って紹介します。
【対策1】不正アクセスの種類や手口を知っておく
不正利用の対策をするには、まず不正アクセスの種類や手口を知っておくことが大切です。
なぜなら、不正アクセスの種類や手口を知っておくことで、自社の強化しなければならない箇所がわかるだけではなく、いざという時に迅速に対応できるからです。
そこで、不正行為の手口と対策を知るための入門編として、かっこ株式会社の漫画「3匹の子豚」をおすすめします。
「3匹の子豚」を読んで得られることは、主に次の4点です。
- よく耳にするインターネットセキュリティ用語の意味がわかる
- セキュリティシステムの名称と役割がわかる
- 不正アクセスの名称と内容がわかる
- 不正アクセスの種類によって対応しているセキュリティシステムがわかる
漫画「3匹の子豚」は無料でダウンロードできますので、インターネットセキュリティの全容を理解したい方は下記の画像をクリックのうえご活用ください!
【対策2】なりすましサイトを検知する仕組みを構築する
不正者がChatGPTを悪用することで、今後なりすましサイトはますます巧妙さが増していくと考えられます。
そのため、なりすましサイトを検知する仕組みを構築し、手厚いセキュリティ対策を実施することが重要です。
なりすましサイトを検知する具体的な方法として、次の3つが挙げられます。
【なりすましサイトを検知する3つの方法】
|
悪意のある第三者は、自社のドメインにアルファベットを一つ足したり順番を入れ替えたりして、公式サイトと見分けがつきにくいように仕掛けてきます。
そこで、不正者が類似のドメインを作れないように、前もって類似のドメインは自社で登録しておくのがおすすめです。
さらに、悪用者に不正なドメインが取得されていないか「定期的なドメインの監視」が必要です。
しかし、本来業務をこなしつつ、監視を常に自社で行うとなると担当者の負担が大きくなってしまいます。
- 偽ドメインサービス
- なりすまし対策サービス
など外注やプロのサービスを活用し、なりすましをあらゆる方面から検知できる体制を構築しましょう。
下記の記事では、なりすまし(フィッシング)サイトを検知する方法について詳しく解説していますので、ぜひチェックしてみてください。
まとめ:インターネットセキュリティの知識を深めて不正利用対策を
ChatGPTは今後ますます需要が高まり、利用者の数も増えていくことが予想されます。
それに比例して、ChatGPTを不正行為に使う犯罪の増加も避けられないでしょう。
2023年初頭には、不正を働くものが集まり「ChatGPTをどのように不正利用できるか」といった議論を始めたことも確認されています。
加えて、これまでにはなかった脅威が出てくる可能性もゼロではありません。
不正の被害に遭って慌てる前に、インターネットセキュリティの知識を深めて対策を練っておきましょう。
下記の記事では、サイバー攻撃の詳しい手口や対策を解説しています。
インターネットセキュリティに関する知識を深めたい方は、ぜひご一読ください。
