
3月にリリースされたGPT-4は、企業のセキュリティを一変させた。というのも、悪意あるハッカーたちはこれらのツールを悪用して悪意あるコードを生成する能力を有することになったからだ。一方のセキュリティベンダーたちもジェネレーティブAIによってこれらの悪意あるコードを検出する方法を模索し始めている。
そんな中、あるセキュリティ研究者がChatGPTをつかった革新的な「おとり捜査」の方法を開発した。
4月22日、デセプション・プロバイダーである「Lupovis」CEOのXavier Bellekens氏は、ChatGPTを使用してプリンターハニーポット(訳註:あえて攻撃されるように設定したプリンターを用意して攻撃者を誘き寄せる仕組み)を作り、ハッカーを騙して存在しないシステムに侵入させようとする方法をブログに公開した。ジェネレーティブAIがデセプション・サイバーセキュリティで果たす役割を実証したのだ。
「このアイデアは、ある種のおとりハニーポットを構築し、敵対者をネットワークに侵入させるのではなく、自分のほうにおびき寄せるというものです」と、Bellekens氏はVentureBeatの独占インタビューに答えてくれた。
ChatGPTでハッカーを騙す
Bellekens氏はまず、ChatGPTに対してプリンタのすべての機能をサポートし、呼び出しに対してプリンタとして識別し、さらにユーザー名が「admin」、パスワードが「password」になるログインページを持つ、プリンタの設定を構築する手順とそのソースコードを作るよう依頼したそうだ。
10分ほどで、彼は「比較的うまく機能する」コードで「囮」となるプリンター設定を開発した。次に、Bellekens氏はVultr上で「プリンター」をホストし、ChatGPTを使って着信接続を記録しつつ、データベースに送信した。
するとどうだ、この新しく作られたプリンターはすぐに興味を持たれたのだという。
「数分後には接続が始まり、パスワードを解除しようと試みる人たちが現れました。よし、上手くいったと思った私はこれらのボットがどこから来ているのかデータを取ってみることにしたんです」。
Bellekens氏はこれらの接続をより正確に分析するため、接続先のIPアドレスをLupovisのツール「Prowl」と照合した。Prowlは接続先の郵便番号、都市、国の情報を提供し、それが機械か人間かを確認してくれるものだ。
するとプリンターに接続していたのはボットだけではないことがわかった。ある例では、個人がプリンターにログインしているのを発見したので、これを詳しく調査することにしてみた。Bellekens氏は次のように解説してくれた。
「その時間帯をもう少し詳しく見てみると、確かにパスワード解除の動きとは違った様子でログインしていました。そこにはスキャナーの1つが稼働していた痕跡があったのですが、どうやらいくつかのボタンをクリックして、その中の設定を変更しようとしていたようなのです。ChatGPTで作った囮は想像以上に早く彼らを騙してくれましたね」。
この囮はなぜ意義があるのか?
このハニーポットは、ChatGPTのようなジェネレーティブAIツールが、デセプション・サイバーセキュリティ(セキュリティチームが攻撃者を惑わすためにおとりのインフラを作り、攻撃者が環境にアクセスするために使う悪用技術について情報を得るための防御作戦アプローチ)の領域で果たすべき役割を端的に示してくれている。
本誌VentureBeatは、他のサードパーティーのセキュリティ研究者に連絡を取ったのだが、彼らはこのテストの結果に満足そうに興奮していた。
脅威情報プロバイダーCybersixgillのシニアインテリジェンスアナリスト、Michael-Angelo Zummo氏は、「これは、私がこれまで見た中で最もクールなプロジェクト」と述べ、「ChatGPTを通じて脅威行為者を検出するハニーポットを設置すると世界が広がります。この実験では、プリンターを使っただけですが、それでもログインしてボタンを押すほど好奇心の強い人間を少なくとも1人集めることに成功しました」とその興奮を語った。
同様に、ガートナーのシニアアナリストであるHenrique Teixeira氏は、この「演習は、LLM(大規模言語モデル)が人間の難しいタスクの実行能力を補強するのに役立つ例となるでしょう。この場合、目の前のタスクはPythonプログラミングです。つまり、市民開発者がより生産的な結果を残すことになることを示唆する重要な例となるはずです」と述べる。
デセプション・サイバーセキュリティの革命
ChatGPTがデセプション・サイバーセキュリティに革命を起こすと主張するのは時期尚早だが、この試験的な取り組みは、ジェネレーティブAIがデセプション技術市場における囮の制作を効率化する可能性があることを示している。これはResearchAndMarketsが2020年時点で19億ドルと評価し、2026年には42億ドルに達すると推定している市場だ。
ところでデセプション・サイバーセキュリティとは一体何なのだろうか?前出のTeixeira氏は次のように解説してくれた。
「Deceptionとは、偽の資産(またはハニーポット)を使って攻撃者を「だます」サイバーセキュリティにおける非常に人気のある脅威検出技術です。一般的には、例えば「MITRE ATT&CK」のようなセキュリティフレームワークを使って、自動マッピングでインテリジェンスを収集することができたりします」。
しかし、このユースケースを拡張して仮想的にネットワーク全体を設定することができれば、セキュリティチームは、潜在的な侵入口を不明瞭にすることで、脅威要因に対する防御を強化することが非常に容易になる。
AIの一般的な発展が欺瞞のサイバーセキュリティの様相を変えつつある。あるガートナーのレポート(購読が必要)では、企業などの組織が自動化技術を用いて攻撃対象領域をリアルタイムに移動または変更するAMTD(Automated Moving-Target Defense)戦略に注目している。
基本的に、組織はターゲットとなる資産を特定し、攻撃者を欺くために移動、再構成、モーフィング、暗号化を自動化するタイミング間隔を設定する。この戦略の一環としてジェネレーティブAIを追加し、大規模に囮を生成することで、強力な戦力増強となる可能性があるのだ。
ガートナーは、10年以内にAMTDだけでほとんどのゼロデイ・エクスプロイトを軽減できる可能性が高いと予測し、2025年までにクラウドアプリケーションの25%が、組み込みの予防アプローチの一部としてAMTDの機能とコンセプトを活用するとしている。
AIを活用したソリューションやChatGPTのようなツールが進化を続ける中、企業は囮となるサイバーセキュリティを実験し、脅威行為者に対して攻勢をかける貴重な機会を得ることになるのではないだろうか。
【via VentureBeat】 @VentureBeat
BRIDGE Members
BRIDGEでは会員制度の「Members」を運営しています。登録いただくと会員限定の記事が毎月3本まで読めるほか、Discordの招待リンクをお送りしています。登録は無料で、有料会員の方は会員限定記事が全て読めるようになります(初回登録時1週間無料)。- 会員限定記事・毎月3本
- コミュニティDiscord招待