2023年02月09日 12時00分セキュリティ

「ChatGPTを使ってマルウェアを作成するサービス」をハッカーが販売中

OpenAIの対話型AIである「ChatGPT」は、質問や要求に対してまるで人間のように高精度の回答をすることで話題になっており、すでに「Googleのコーディング職の試験に合格する」「経営学修士課程(MBA)の最終試験で合格点を取る」といった事例が報告されています。そんなChatGPTには違法なコンテンツの生成をブロックする機能が搭載されていますが、サイバーセキュリティ企業・Check Point Softwareの研究者が、ハッカーが「ChatGPTの制限を回避してマルウェアを作成できるようにするサービス」を販売していると報告しました。

Cybercriminals Bypass ChatGPT Restrictions to Generate Malicious Content - Check Point Software
https://blog.checkpoint.com/2023/02/07/cybercriminals-bypass-chatgpt-restrictions-to-generate-malicious-content/

Hackers are selling a service that bypasses ChatGPT restrictions on malware | Ars Technica
https://arstechnica.com/information-technology/2023/02/now-open-fee-based-telegram-service-that-uses-chatgpt-to-generate-malware/

ChatGPTは質問や要求に対して人間を模倣した回答を行うことが可能であり、ユーザーはドキュメントやプログラミングコードを生成することができます。しかし、ウェブから利用できるChatGPTは潜在的に違法なコンテンツの生成をブロックする制限が設けられており、「デバイスをハッキングしてデータを盗むためのコード」や「フィッシングメールの文面」を書くように依頼しても、そのようなコンテンツは違法・非倫理的・有害であると警告して拒否します。

しかし、ハッカーらはこのChatGPTの制限を回避するため、アプリを構築する開発者などに提供されている「OpenAI API」を利用する方法を考案しました。ウェブ版のChatGPTには違法なコンテンツの生成をブロックする機能が搭載されていますが、APIにはほとんど不正行為防止策が実施されておらず、ChatGPTでフィッシングメールやマルウェアコードなどの悪意のあるコンテンツを生成できるそうです。

Check Point Softwareの研究者によると、地下フォーラムではOpenAIのAPIキーをメッセージングアプリのTelegramなどの外部アプリケーションに統合し、悪意のあるコンテンツを生成可能にしたサービスが販売されているとのこと。以下の画像は、OpenAIのAPIを使用して規制を回避したTelegramボットを宣伝しているページのスクリーンショットです。

Telegramボットを通じてChatGPTを利用することで、フィッシングメールの文面を生成させることが可能。

また、マルウェアコードを生成させることもできます。

あるフォーラムで販売されているサービスはAPIとTelegramアプリを組み合わせたもので、最初の20クエリまでは無料で使用でき、それ以降は100クエリごとに5.5ドル(約720円)の課金が必要という料金体系となっています。

Check Point Softwareの研究者であるSergey Shykevich氏はテクノロジー系メディア・Ars Technicaへのメールで、2022年12月～2023年1月の間はChatGPTを介してマルウェアやフィッシングメールを生成することが比較的簡単だったものの、最近になってChatGPTの悪用防止メカニズムが大幅に改善されたため、サイバー犯罪者らは規制がはるかに少ないAPIに切り替えたのだろうと指摘しています。なお、Ars TechnicaはOpenAIに問い合わせを行ったものの、記事作成時点では返答はないとのことです。

Ars Technicaは、「マルウェアやフィッシングメールの作成は、ChatGPTが有害なコンテンツを世界中にばらまくパンドラの箱を開けていることの、ほんの一例に過ぎません。その他の安全でない、または非倫理的な使用例としては、プライバシーの侵害や誤情報の生成、学校の課題の生成といったものがあります」と述べました。