現在広く話題になっているChatGPTは、OpenAIという人工知能の研究所が開発した「人工知能型チャットボット」です。
出典: https://openai.com/blog/chatgpt
よりよく理解するために、「人工知能」と「チャットボット」の定義について説明します。 人工知能とは、簡単に言えば、人間のように論理的に考え、意味を把握できる知能を持ったコンピューターシステムと定義することができます。チャットボットとは、人間の会話をシミュレートするために設計されたコンピュータプログラムです。単純にチャットボットというときには、見た目上意味があるやり取りができているように見えても、コンピューター側は論理的に考えたり意味を把握することなく、設定された通りに言葉を返します。 ChatGPTは、単純なチャットボットと異なり、論理性や意味を理解できる知能を用いて人間の会話をシミュレートすることができるコンピュータプログラムです。
目次
ChatGPTはどのような仕組みになっているのか
ChatGPTの「力」を十分に理解するためには、その仕組みを理解することが不可欠です。 ChatGPTに聞くのが一番でしょう?以下は、ChatGPTで行ったチャットです。
![ChatGPTはどのような仕組みになっているのですか?](http://images.ctfassets.net/v9tsw21ga8ve/6FoDwWaGKE1eikIhytHV6m/5d149edc9dddfe05464644ab4b4f7d99/info42-2_.jpg)
これは複雑なので、例え話で分解してみます。 Googleの検索エンジンとChatGPTについて見てみましょう。Googleの検索エンジンに入力をすると、データベースの検索が行われ、一連の検索結果がユーザーに提供されます。そして、ユーザーは検索結果を見ながら、探しているものを見つけることになります。 上の画像の説明によると、ChatGPTは、ユーザーがChatGPTに入力をすると、入力された内容を単語ごとの意味合いに分解して解釈し、内容に基づいた応答を提供します。つまり、入力の意味や文脈を考慮した応答を提供しようとするのです。これがChatGPTの力です。ChatGPTがエッセイや物語などの文学作品を作ることができるのは、このためです。
以下、例を見てみましょう。
![古代日本の卑弥呼を描いた短編小説](http://images.ctfassets.net/v9tsw21ga8ve/7g1peG9B3yX6tEQvGa6FHs/8e0b29374e1c19f43f1ad905458dfdf6/info42-3.jpg)
上記のストーリーがChatGPTによって生成されたものであることを事前に知らなければ、人間が書いてもおかしくない内容と感じるかもしれません。
このように人間に似ていることから、ChatGPTはサイバー犯罪者にとって有利な存在となっています。上に示したように、ChatGPTは単純なストーリー以上のものを書くことができます。入力に基づいてコード行を書くこともできるのです。 ChatGPTは善の可能性をたくさん持っていますが、この記事では、潜在的に悪の可能性があるセキュリティの使用法について見てみたいと思います。
サイバー犯罪者はChatGPTをどのように利用するのか
その答えを見つけるために、ChatGPTに質問してみましょう。
![サイバー犯罪者はChatGPTをどのように利用するのか](http://images.ctfassets.net/v9tsw21ga8ve/77bAKXWO7HtuZdP3cF8aC5/292b82680db9338d7152f1c0c5ca2942/info42-4.jpg)
以下、サイバー犯罪者がChatGPTを悪用するシナリオを詳しく見ていきましょう。
1.フィッシング攻撃
大切な人からのメッセージやメール、上司からのタスクの期限を尋ねるメールなどを想像してみてください。当然、人間の本能が働くでしょう。特に、愛する人の場合、違和感があったとしても、私たちは助けを提供したいと思うからです。つまり、メッセージや電子メールを開いて、攻撃されたリンクやファイルをクリックしたり開いたりしてしまう可能性が高いのです。その典型的な例が、フィッシング攻撃によって電子メールで伝播するマルウェア「Emotet」です。
参考: https://www.ipa.go.jp/security/announce/20191202.html
一般的に、フィッシングメールを識別する最も簡単な方法の1つは、メールの内容を見ることです。通常、攻撃者は特定の言語を母国語としないため、メッセージには文法やスペルの間違いが含まれている可能性があります。 しかし、ChatGPTで文章が作成されていた場合は、限りなく人間に近い言語を使用しているため、判別が難しいかもしれません。そのため、攻撃者にとっての頼みの綱となる可能性があります。 下の画像にあるフィッシングメールのサンプルを見てください。
![ChatGPTが作成したフィッシングメッセージ](http://images.ctfassets.net/v9tsw21ga8ve/5jzhtTCYRtZmnarTdzAu9F/e168a277881da915e897b46e5d0e6163/info42-5.jpg)
2.ソーシャルエンジニアリング
ChatGPTからの回答にもあるように、"サイバー犯罪者はChatGPTを利用して偽のソーシャルメディアプロフィールを作成し、それを使って実在の人物になりすますことができる"。 攻撃者はChatGPTを使用してソーシャルメディアのプロフィールを作成し、無防備な標的を騙して、知り合いの写真や情報を使ってオンラインで友達になるように仕向けることができます。その「友情」が確立されると、攻撃者は機密情報をフィッシングすることができるようになってしまいます。 以下、ChatGPTを使って作成したインスタグラムのプロフィールサンプルを見てください。
![偽のInstagramのプロフィール](http://images.ctfassets.net/v9tsw21ga8ve/5eQAXfJa26wye6TrAqEi5g/b3012a854354c94f477aa57ed0539a64/info42-6.jpg)
さらに悪化する可能性があります。攻撃者はChatGPTを使って簡単に誰かになりすましたポートフォリオサイトを作ることができます。ChatGPTを使用して生成されたHTMLポートフォリオページのスニペットを以下に見てください。
![ポートフォリオページのHTMLコード](http://images.ctfassets.net/v9tsw21ga8ve/2Y3agpNhzsZZtvIu9KTqMM/5d5496ee2e3775703b64dd1c3f0ea4b3/info42-7.jpg)
3.マルウェアの配信
マルウェアとは、簡単に言うと、悪意のあるソフトウェアのことです。
参考:https://www.ipa.go.jp/files/000025349.pdf
マルウェアはあなたのデータを削除したり、暗号化したり、盗んだりすることができます。上の例にもあるように、ChatGPTはHTMLコードを書くことができます。問題は、ChatGPTがマルウェアを書けないように制限できるかどうかということです。残念ながら、制限する手段は何もありません。攻撃者はChatGPTを使ってマルウェアを作成し、上記のようなフィッシング攻撃で配布することができます。以下、例を見てみましょう。
![ファイルを暗号化するPythonプログラムの作成例](http://images.ctfassets.net/v9tsw21ga8ve/4U47Jx8BaEHbxYdkSuGVYi/da020d35b0982a858c454e0884ba83e7/info42-8.jpg)
4.フェイクニュースの流布
そのほか、ChatGPTは他の悪いことに使われる可能性もあります。 現在、世界では、政治的な緊張が続いています。ChatGPTは、国家や政党がフェイクニュースを生成して広めるために利用することができます。ChatGPTは、現実とは異なるストーリーであっても、見かけ上論理的に整合性がとれているかのように文章を生成することに長けているためです。フェイクニュースはソーシャルメディア上でも共有・拡散されることになります。以下、虚偽のストーリーをChatGPTが生成する例を見てみましょう。 2023年3月17日、国際刑事裁判所は、ウクライナにおける戦争犯罪について、ロシアのプーチン大統領に逮捕状を発行しました。
その現実を歪めたフェイクニュースのストーリーを作るために、ChatGPTがどのように使われるのか、以下の例を見てみましょう。 英語でChatGPTにストーリーを作ることを依頼した場合は、ChatGPTは、事実とは異なる、『ロシア大統領が戦争犯罪で無罪と立証された』というストーリーを生成しました。これを記事にしてしまうと、フェイクニュースになります。
しかし、日本語でChatGPTに依頼した場合は、下の画像に見られるように、そのような記事を書くことを拒否しています。事実をもとに、虚偽のニュースになりうる記事の生成を断っています。
これは、ChatGPTの矛盾の一つを示す非常に良い例です。
まとめ
ChatGPTは、これまでにリリースされたチャットボットの中で最も完成度が高いと言っても過言ではないため、かなり誇張される形でもてはやされています。しかし、すべてのテクノロジーがそうであるように、それは良いものでも悪いものでもありません。善と悪のどちらとして使うかは、ユーザーが決めることです。攻撃者による制限や間違った使い方の可能性もありますが、一方、サイバー攻撃を防ぐために使用することもできるのです。 最後に、質問させてください。
この記事は人間が書いたのか、ChatGPTが書いたのか、どちらだと思いますか?