「生成AIでマルウェア」は作れるか？ 攻撃者が目を付ける“悪用手段”のまとめ：「もろ刃の剣」の生成AI【中編】

ChatGPTをはじめとする生成AIツールは、企業にメリットだけではなくセキュリティリスクをもたらす可能性がある。サイバー攻撃者は、生成AIをどのように悪用しようとたくらんでいるのか。

[Luke Witts，TechTarget]

　テキストや画像などを自動生成するAI（人工知能）技術「ジェネレーティブAI」（生成AI）は、企業にどのような脅威をもたらすのか。サイバー攻撃者が、生成AIをどのように悪用する可能性があるのかをまとめる。

「生成AI」を悪用するさまざまな手口　そもそもマルウェア作成はできる？

併せて読みたいお薦め記事

連載：「もろ刃の剣」の生成AI

• 前編：「生成AIなんて要らない」派の企業の言い分

生成AIのリスクに関する記事

• 「ChatGPT」を恐れてはいけない？　ある発言であらわになった評価の分け目
• リスクまみれの「生成AI」　“安直な使用禁止”が逆にリスクを招いてしまう訳

　OpenAIが提供するAI技術を活用したチャットbot「ChatGPT」は、ソースコードの補完や要約、バグ検出の自動化に活用可能だ。企業は、攻撃者がこの能力に目を付け、脆弱（ぜいじゃく）性の特定に生成AIを悪用するのではないかと懸念し始めている。

　他にも攻撃者は、「WhatsApp」のようなメッセージングアプリケーションやショートメッセージサービス（SMS）、メールを悪用した攻撃で生成AIを活用可能だ。こうした攻撃を通じて攻撃者は、標的とメッセージを自動でやりとりして信頼関係を築き、機密情報を入手する可能性がある。機密情報は文面で要求することも、標的にマルウェアのダウンロードリンクをクリックさせ、そのマルウェアを通じて収集することも可能だ。攻撃者はなりすましを目的として、以下のコンテンツ生成に生成AIを悪用する可能性もある。

• 深層学習（ディープラーニング）技術を利用した偽（フェイク）の動画や音声「ディープフェイク」
• テキストの音声読み上げ

　一方で「攻撃者が生成AIを使ってマルウェアを開発できる」というのは短絡的な考えに過ぎない。現状、生成AIのプログラミング能力は限定的だ。例えば生成AIが作成した、関数型プログラミング（数学的な関数を組み合わせたプログラミング）のソースコードは、不正確であることが少なくない。プログラミング用に調整された生成AIであっても、プログラミング言語「Python」で簡単なソースコードは作成できるが、複雑なプログラミング言語やソースコードになると悪戦苦闘する場合が大半だ。

　生成AIを用いたPythonでのマルウェア開発事例もあるが、開発用途における生成AIの実用性は、まだ限定的だという見方が強い。現状、攻撃者はマルウェア開発に生成AIを利用しても、既存のツールや技法を上回るメリットはほぼ得ることができない。

　ただし生成AIがもたらす脅威を無視するわけにはいかない。ChatGPTの中核である「GPT」をはじめとする大規模言語モデル（LLM）は、人の会話を模倣することにおいて非常に優れている。生成AIが作成したテキストと人の会話を区別することは簡単ではない。

　今後、より信頼性のあるAIモデルが誕生する可能性はある。生成AIがもたらす脅威に対処するには、先を見越して備えておくべきだ。

---

　後編は、生成AIのリスクを防ぐために企業が取れるアプローチを紹介する。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。