見出し画像

生成AIを悪用したサイバー攻撃 GPT-4利用で成功率87%

米イリノイ大学アーバナ・シャンペーン校の研究者らによって、
新たなソフトウエアの脆弱性を突く攻撃への悪用の可能性が示された。

脆弱性に関する公開情報を教えるだけで、脆弱性のあるコンピューターに
対して自律的に攻撃を仕掛けるという。
大規模言語モデルのGPT-4を利用した場合の成功率は87%だったという
      

                         出典:日本経済新聞

<狙われる「ワンデイ脆弱性」>

攻撃者は脆弱性を悪用してインターネット上のサーバーや企業ネットワークなどに不正侵入する。
近年では、インターネットと企業ネットワークの境界に設置されたVPN装置の脆弱性を悪用することが多い。ここでのワンデイ脆弱性とは、その内容や修正プログラムが公開されたばかりの脆弱性を指す

ワンデイ脆弱性はパッチを適用すれば修正できるものの、
すぐに適用されないサーバーや機器は多い。
攻撃者はそのようなサーバーや機器を狙う。攻撃者は公開されている脆弱性情報などを参考にして脆弱性を突くプログラムを作成し、攻撃を仕掛ける。



<GPT-4だけが攻撃に成功>

検証には15種類のワンデイ脆弱性を用いた。対象はWebアプリケーションやコンテナ、Pythonパッケージなど多岐にわたる。
また、GPT-4やGPT-3.5、Llama2など計10種類のLLMを使用した。
検証の結果、脆弱性を突けたのはGPT-4だけだった。5回の試行で15種類中13種類の脆弱性を突けたので、成功率は86.7%だった。

LLMごとの攻撃の成功率(出所:論文「LLM Agents can Autonomously Exploit One-day Vulnerabilities」)




とても便利な生成AIだが、その反面フィッシングメールの作成などに悪用もされているのが現状です。
今後生成AIを利用したサイバー攻撃は増加していくと思われます。
その際、まず狙われるのは警戒の甘いシステムです。
企業は自社のセキュリティ強化への取り組みを
今一度見直しておく必要があるのではないでしょうか。




★-------------------------------------------★
【アルテミスBP パートナー様募集!】
セキュリティベンダー様、SIベンダー様、OA機器ディーラー様、通信機器ディーラー様、ソフトウェア開発会社様、xSP様、iDC様など、ネットワークセキュリティ事業を共に展開するパートナー様を広く募集しています。

私たちだからできる「ワンストップサービス」も魅力の1つです!



⇒ 専用ページはこちら
★-------------------------------------------★