ロシア、北朝鮮、イラン、中国、チャットGPTのサイバー攻撃への「導入例」とは?
ロシア、北朝鮮、イラン、中国、チャットGPTのサイバー攻撃への「導入例」とは――。
マイクロソフトとオープンAIは2月14日、国家レベルのサイバー攻撃グループによるチャットGPT(GPT-4)の使用についてのレポートを発表した。
取り上げられているのは、「フォレストブリザード」(ロシア)、「エメラルドスリート」(北朝鮮)、「クリムゾンサンドストーム」(イラン)、「チャコールタイフーン」「サーモンタイフーン」(中国)という、これまでにもサイバー攻撃のアクター(行為者)として指摘されてきた5つのグループだ。
いずれも「初期段階」で「重大な攻撃は確認されていない」とし、当該アカウントは停止されたとしている。
だが、国家レベルのサイバー攻撃でも、生成AI化が急速に進んでいることを裏付ける。
●サイバー攻撃グループもAIに注目
脅威アクターは、防御側と同様に、大規模言語モデル(LLM)を含むAIに注目し、生産性を高め、目的と攻撃技術を向上させるためにアクセス可能なプラットフォームを悪用している。サイバー犯罪グループ、国家レベルの脅威アクター、その他の敵対者は、自分たちの作戦にとっての潜在的な価値と、回避する必要のあるセキュリティ制御を理解するために、さまざまなAI技術が登場すると、調査し、テストを行っている。
マイクロソフトは2月14日付の公式ブログの中で、そう述べている。
生成AIサービス「コパイロット」を提供する同社が、そのベースとなるチャットGPT(GPT-4)開発元のオープンAIとの調査で指摘するのは、広く知られたサイバー攻撃グループによる、これらの生成AIサービスの「導入例」だ。
脅威アクターの動機や複雑さは様々だが、標的を定めて攻撃を行う過程でのタスクは共通している。これには、潜在的な被害者の業種、場所、人間関係を知るといった偵察、ソフトウェアのスクリプト(自動化コード)やマルウェア開発の改良といったコード開発のサポート、(標的の)母国語の学習や使用のサポートなどが含まれる。言語サポートは大規模言語モデルの一般的な機能であり、(なりすましによる機密漏洩などの)ソーシャルエンジニアリングや、標的の仕事、職業上のつながり、その他の人間関係に合わせた偽の欺瞞的なコミュニケーションを使った手法を継続的に行う脅威アクターにとっては、魅力的なものだ。
企業などにとっての生成AIの魅力は、サイバー攻撃グループにとっても魅力、ということだ。
●ロシアの「フォレストブリザード」
フォレストブリザードの大規模言語モデルの使用には、ウクライナの通常の軍事作戦に関連すると見られる様々な衛星やレーダー技術の調査、およびサイバー作戦を支援することを目的とした一般的な研究が含まれている。
マイクロソフトが最初に挙げるのは、ロシア連邦軍参謀本部情報総局(GRU)の26165部隊「フォレストブリザード」だ。
同部隊は「APT28」や「ファンシーベア」の名前でも知られ、これまでもウクライナへの攻撃や2016年の米大統領選に絡むサイバー攻撃などでしばしば名前が挙がってきた。
※「偽政府サイト」でウイルス拡散も、武力侵攻に先立ちサイバー波状攻撃(02/25/2022 新聞紙学的)
マイクロソフトが指摘する生成AI利用は、まず「衛星通信プロトコル、レーダー画像技術」などに関する知識取得のための「対話」だ。
そして、ファイルやデータの操作の自動化のためのスクリプトのサポートを探っていたという。
●北朝鮮の「エメラルドスリート」
(エメラルドスリートは)北朝鮮に関するシンクタンクや専門家の調査、(ピンポイントの標的攻撃)スピアフィッシング・キャンペーンに使用される可能性の高いコンテンツの作成に関与している。
北朝鮮のサイバー攻撃グループ「エメラルドスリート」について、こう指摘する。このグループも、「キムスキー」「エメラルドチョリマ」などの名称で、その活動が知られてきた。
特徴的なのは、メールを使ったサイバー攻撃「スピアフィッシング」用と見られるコンテンツの「草案や生成」に生成AIが使われていたという点だ。
さらに北朝鮮の安全保障や核問題に関するシンクタンク、政府機関、専門家の特定にも生成AIを使っていた、という。
この他、同グループは、やはりスクリプトやプログラムの脆弱性に関する情報について、AIのサポートを求めていたという。
●イランの「クリムゾンサンドストーム」
国際開発機関を装ったものや、著名なフェミニストたちを攻撃者が作ったフェミニズムに関するウェブサイトに誘い込もうとするものなど、さまざまなフィッシングメールを作成するために大規模言語モデルとの対話を行った。
イランのイスラム革命防衛隊(IRGC)につながるとされるグループ「クリムゾンサンドストーム」は、「防衛、海運、運輸、ヘルスケア、テクノロジー」などのインフラを標的としたマルウェア(ウイルス)による攻撃を手がけ、「トータスシェル」「インペリアルキトゥン」「イエローリダーク」などの名称でも知られてきたという。
特徴なのは、やはりスピアフィッシング用のメール作成に、生成AIを使っていたという点だ。
この他に、ウイルス検知ソフトを回避するためのプログラム作成のサポートのために、生成AIを使おうとしていたという。
●中国の「チャコールタイフーン」「サーモンタイフーン」
中国のサイバー攻撃グループ「チャコールタイフーン」は「アクアティックパンダ」、「サーモンタイフーン」は「マーベリックパンダ」「APT4」などの別名でも知られているという。
前者は「政府、高等教育、通信インフラ、石油とガス、情報技術」などの分野、「台湾、タイ、モンゴル、マレーシア、フランス、ネパール」などの国々が標的。後者は、「米国の防衛請負業者、政府機関、暗号技術分野の団体」を標的にマルウェアによる攻撃を行ってきたという。
いずれも「偵察」「スクリプト生成」「翻訳」などに使用していたという。
●サイバー攻撃にとっての"メリット"
これらの「導入例」からは、企業などが生成AI導入によって享受しようとするメリットを、サイバー攻撃グループも、遅滞なく取り込んでいることがよくわかる。
このような生成AIのリスクは、オープンAI自体が2023年1月に公表したスタンフォード大学、ジョージタウン大学とのGPT-3を対象とした共同研究や、GPT-4に関する「テクニカルレポート」でも明らかにされてきた。
※生成AIが世論操作のコスパを上げる、その本当の危険度とは?(01/20/2023 新聞紙学的)
それらが、現実の動きとして見えてきたということだ。
(※2024年2月15日付「新聞紙学的」より加筆・修正のうえ転載)
