[電子新聞創刊41周年特集]生成型AI・ブロックチェーン新技術登場...サイバーセキュリティ対策は？

<サイバーセキュリティ分野における生成型AIの肯定的、否定的な活用方法>

ChatGPTに代表される生成型人工知能(AI)やブロックチェーンなどの新技術の出現は、産業にとって新たなチャンスでもあるが、セキュリティの観点からは別の脅威を意味することもある。どこへ飛び火するか分からない新技術の方向性は、セキュリティ業界にとって挑戦課題だ。新しい技術は、新しいセキュリティ問題を引き起こすものだ。

生成型AIは業務効率を高めると同時に、サイバー攻撃に悪用される可能性があり、情報流出の問題も抱えている。ブロックチェーンもやはり、世界的に脆弱性を悪用した侵害事故が多数発生するなど、技術の限界を克服するための努力が求められている。

◇生成型AI、悪性コードの生成など「脅威」

まず、生成型AIが生成する成果物をサイバー攻撃に活用する危険性が高い。大量のフィッシングメールを簡単に作成するだけでなく、内容を精巧に修正することができる。これは韓国語がわからない海外の攻撃者にとって言語の壁を解消する要因だ。

また、生成型AIのコード生成機能はハッキングツールを製作するのに活用でき、専門知識のない一般人でも生成型AIの助けを借りて簡単にハッキングツールを製作することが可能だ。攻撃者の時間とコストを削減し、一般犯罪のサイバー犯罪化の可能性もある。

機密情報の流出と成果物の誤用も問題だ。ユーザーが生成型AIに入力した情報はサーバーに保存される。運営会社のセキュリティ事故、機密情報流出、AIモデルやサービスに対するハッキング攻撃などにより、ユーザーが入力した情報が流出する可能性がある。また、生成型AIは言語を解析し、質問に合わせて回答するAIであり、結果物に対する事実かどうかの検証は不可能だ。誤った情報を誤用したり、拡散させたりする危険性がある。

AI固有のセキュリティ脅威もある。悪意のある学習データの注入により、偏った知識が蓄積され、歪曲（わいきょく）や差別を誘発する可能性がある。実際にマイクロソフトが開発したAIチャットボット「Tay（テイ）」は、匿名のインターネット掲示板で悪口や人種・性差別発言を誘発し、リリース後16時間で運営を中止した。また、入力データを改ざんしてモデルを誤分類させたり、学習に活用されたデータを復元したり、モデルの複製攻撃がされたりするなど、AIモデルの学習と活用段階で様々な攻撃にさらされている。

◇先制的対応・安全な活用

専門家は、まだ生成型AIを活用したサイバー攻撃が発生したり、犯罪が増加したと見るのは難しいが、セキュリティの脅威を事前に識別し、先制的な措置を取るべきだと強調している。

まずは、生成型AIを活用しやすいフィッシング攻撃への対応が必要だ。Eメール検出システムの改善など、技術的なセキュリティ対策を強化する一方、フィッシング攻撃がより巧妙化しているため、その危険性を伝える教育も並行して行う必要がある。また、効率的な対応のため、生成型AIモデルの成果物を識別する技術を開発し、関連するセキュリティ脅威のモニタリングも備える必要がある。

生成型AIが革新的な技術であるだけに、安全に活用できる方法を講じるべきだとの指摘も出ている。国家情報院が昨年6月に「ChatGPTなど生成型AI（人工知能）活用セキュリティガイドライン」を配布したのも同じ脈絡だ。生成型AIは活用促進と副作用の緩和が同時に必要な技術だからだ。ガイドラインには必須のセキュリティルールとして△非公開・個人情報などの機密情報の入力禁止△生成物に対する正確性・倫理性・適合性などの再検証△ログインアカウントのセキュリティ設定強化などを盛り込んだ。

AIセキュリティポリシーに関する持続的な議論も不可欠だ。AIセキュリティの具体的な方向性を確立するには、データの収集段階から学習、結果物の活用まで、全過程に対する総合的なセキュリティフレームワークを構築する必要がある。

◇ブロックチェーンセキュリティの脅威増加...「脆弱性狙われる」

ブロックチェーンセキュリティの脅威は継続的に増加する見込みで、アプリケーション、システム、ネットワークを中心に多様に発生するものと思われる。

攻撃者は、DAppやスマート契約のように、ブロックチェーンアプリの脆弱性を悪用して金銭的利益を狙う。高麗（コリョ）大学コンピュータセキュリティ研究室の「VERISMART（ベリースマート）技術を通じて分析したスマート契約の脆弱性の増加傾向」調査によると、スマート契約の脆弱性は毎年増加している。また、配布されたイーサリアムスマート契約の収集可能なソースコードのサンプルを基に脆弱性の分析を行った結果、95%が一つ以上の脆弱性を持っているとの研究結果も出ている。

ブロックチェーンシステムに存在する脆弱なオープンソースソフトウェア(SW)コンポーネントを悪用することもある。ブロックチェーンは基本的に暗号化ハッシュチェーン、分散ネットワークと電子署名などの技術を活用してセキュリティに安全であると言われているが、ブロックチェーンサービスを搭載した情報通信技術(ICT)システムは、既存のサイバー脅威に同じようにさらされる。高麗大学の「ブロックチェーンプラットフォームのセキュリティの脆弱性の自動分析技術開発課題」の調査結果によると、ビットコインを含む仮想資産ブロックチェーンSWには平均10個以上のオープンソースSWが再利用されている。

ネットワークセキュリティの脅威もある。インターネットインフラの構造的な脆弱性を狙ってデータを奪取したり、ネットワーク全体を麻痺させる「BGP(Border Gateway Protocol)ハイジャック」、ターゲット被害者のコンピューティング資源を悪用して金銭的な利得を得る「クリプトジャッキング」、2つの異なるブロックチェーンネットワークを接続して資産を移動できるようにするブロックチェーンブリッジ技術をハッキングして悪質な利得を取る「ブロックチェーンブリッジハッキング」などが代表的だ。

◇セキュリティの内在化・政策的支援

ブロックチェーンシステムの安全性を検証・評価するための政策的支援が必要だの声が高まっている。

セキュリティの内在化は、システム要件分析と設計段階からブロックチェーン技術の実際の運営段階まで、全体的にブロックチェーンの安全性を検証することを意味する。このため、専門コンサルティング支援、ブロックチェーン暗号技術ガイドラインによる安全性検証など、ブロックチェーン基盤の信頼性ある社会の実現のための政策的な支援が求められる。

また、ブロックチェーンのセキュリティの脆弱性自動分析技術を持続的に研究・開発し、これを活用してSW開発会社のセキュリティ内在化を活性化する方法も強く求められている。システム開発ライフサイクルと段階別攻撃タイプに応じて、ブロックチェーンサービスのセキュリティ性向上のための脆弱性分析ツールと開発支援ライブラリなどを提供し、全段階でブロックチェーンシステムの安全性を強化することが期待される。