米国のOpenAI社は、自社の開発したChatGPTがインターネット上の情報操作に悪用されている事例を、2024年に20件以上発見したと発表しました。イランやロシアなどの集団が、生成AIを利用して記事やSNSの投稿を作成し、情報操作を行っていたことが明らかになりました。特に、米大統領選などの選挙が標的になっていたと指摘されています。
今回は、ChatGPTの悪用を防ぐために個人や企業ができる10の対策や実際に悪用された事例をご紹介します。
ChatGPTの悪用被害とは
近年、生成AIの代表格として注目を集めるChatGPTですが、その強力な文章生成能力の裏には、悪用リスクが潜んでいるという声が上がっています。特に企業においては、業務効率化に役立つ一方で、機密情報が漏洩してしまう可能性は看過できません。
以下では、ChatGPTの悪用被害の例について詳しく解説します。
フィッシング攻撃
フィッシング攻撃とは、ユーザーから重要な情報を不正に引き出すことを目的としたサイバー犯罪の一種です。具体的には、以下のデータなどが、攻撃者の標的となります。
- クレジットカード番号
- 個人情報
- 企業の機密データ
巧妙な手口でユーザーを欺き、偽のウェブサイトに誘導したり、偽のメールを送信したりすることで、これらの情報を盗み出そうとします。ChatGPTを活用することで、攻撃者は少ない労力で大量の巧妙なフィッシング攻撃を仕掛けることが可能となります。特に、日本語翻訳機能の高精度化は、海外の攻撃者にとって大きな追い風となるでしょう。
従来、海外発のフィッシングメールは、日本語が不自然な点から比較的見破りやすかったものですが、ChatGPTにより、メールがより自然な日本語で作成されるようになり、発見が困難になることが懸念されます。私たちは、ますます巧妙化するフィッシング攻撃に注意を払い、適切な対策を講じることが求められています。
マルウェアやランサムウェアによる攻撃
従来、マルウェアやランサムウェアの作成は、高度なプログラミング知識を必要とする専門的な作業でした。しかし、ChatGPTのような生成系AIの登場により、この状況は大きく変化しています。
ChatGPTは、自然言語による指示に基づいて、様々な種類の文章を生成することができます。この機能を利用することで、プログラミングの知識が乏しい者でも、マルウェアや暗号化ツールのコードを比較的容易に生成できるようになってきました。
マルウェア | コンピュータシステムに侵入し、不正な動作を行うプログラムの総称 |
ランサムウェア | コンピュータ内のデータを暗号化し、復号の鍵と引き換えに身代金を要求する |
さらに、ChatGPTは、ソフトウェアの脆弱性を自動的に検出する可能性も指摘されています。もし、この機能が不正利用された場合、攻撃者は標的とするシステムの脆弱性を事前に把握し、より効率的に攻撃を仕掛けることができるようになるでしょう。
そのため、ChatGPTのような生成系AIは、サイバー攻撃の新たな脅威となり得ることが懸念されています。個人や企業は、個人情報の漏洩や業務の停止、金銭的な損失など、深刻な被害を受ける可能性があります。
なりすましによる詐欺
ChatGPTを利用することで、攻撃者は、まるで人間が書いたかのような自然な文章でコミュニケーションをとる「フェイクキャラクター」を簡単に作成できるようになりました。この技術は、国際ロマンス詐欺などの犯罪に悪用され、被害者は多額の金銭を騙し取られる危険性が高まっています。
さらに、ChatGPTは画像と中身が異なるプログラムを作成することも可能です。そのため、信頼できる人物や企業になりすまし、個人情報を盗み出すといった行為も容易になるでしょう。個人情報の漏えいは、本人だけでなく、企業にとっても大きな損失につながる可能性があります。
ChatGPTを悪用した事例をご紹介
近年、ChatGPTが悪意を持った人間の手により、様々な不正行為に利用されるケースも報告されています。以下では、ChatGPTがどのように悪用されているのか、具体的な事例を交えながらご紹介します。
マルウェア作成
高度なプログラミングスキルを持つサイバー犯罪者が、ChatGPTを利用してマルウェアを作成し、闇市場に販売していました。従来、マルウェアの作成には、複雑なプログラミング言語の知識と豊富な経験が必要でしたが、この事件により、そのハードルが劇的に低下することが明らかになりました。
犯人は、マルウェアの作成手順を公開することで、プログラミングスキルが低い犯罪者でもChatGPTを活用して、短時間でマルウェアを作成できることを示しており、今やプログラミングの知識が乏しい者でも実行可能となったのです。
暗号化ツールの作成
プログラミングスキルが高くないサイバー攻撃者が、ChatGPTを利用して高度な暗号化ツールを作成しました。暗号化ツールは、私たちの大切な情報を守るために欠かせない技術ですが、攻撃者は他人のコンピューターを完全に暗号化し、使用不能にするランサムウェアを作成したのです。
ランサムウェアは一度感染すると、被害者は自分のデータにアクセスできなくなり、復元するためには高額な身代金を支払うことを迫られます。
ダークウェブの作成
サイバー犯罪者たちの間で、闇取引のプラットフォームを簡単に作成できるプログラムが公開された事例です。闇取引プラットフォームとは、匿名性を高めたインターネット上で、違法な取引が行われる場所のことでダークウェブとも呼ばれています。
従来、ダークウェブの構築には高度なプログラミングスキルが必要とされてきましたが、今回公開されたプログラムは、そのハードルを大幅に下げてしまいました。このプログラムにより、犯罪者は少ない労力で自身のダークウェブを構築し、不正に入手したアカウント情報やクレジットカード情報、マルウェア、薬物や銃弾などを密売できるようになります。
手軽にダークウェブが作成できるようになったことで、犯罪の裾野が広がり、社会全体への悪影響が拡大する恐れがあります。
フェイクニュースの作成
ChatGPTは人間が書いたかのような自然な文章を生成できるため、あたかも真実に起きた出来事であるかのように、架空のニュース記事を作成することができます。実際に、日本が政策金利を引き上げたというフェイクニュースが生成された事例も報告されています。このフェイクニュースは、一見すると本物のニュース記事と見分けがつきにくく、多くの人々を誤解に陥れる恐れがあります。
中国では、ChatGPTを利用したフェイクニュースの拡散が深刻化しており、当局が対応に追われているとのことです。この事実は、もはや日本だけの問題ではなく、世界規模で深刻な状況になっていることを示しています。
フェイクニュースなどの偽情報については、以下の記事でも詳しくご紹介しています。ぜひ参考にしてください。
なりすましによるカード情報を窃盗
アメリカのサイバーセキュリティ企業によると、公式のChatGPTを装ったフィッシングサイトが多数確認されています。これらのサイトは、クレジットカード情報などの個人情報を盗み出すことを目的としており、企業のロゴやデザインを巧みに模倣しているため、一見本物と見分けがつきにくい点が特徴です。
さらに、これらの偽サイトは、多くのフォロワーや「いいね!」を獲得しており、あたかも本物のChatGPTであるかのような信頼感を作り上げています。ChatGPTの人気の高まりに乗じて、サイバー攻撃者は、マルウェアの配布や大規模なサイバー攻撃を実行するなど、さまざまな悪質な行為に利用しています。
ChatGPTの悪用を防ぐ10の対策
ChatGPTの悪用により虚偽情報の拡散や個人情報の漏洩、犯罪行為への利用などの潜在的なリスクは無視できません。以下では、ChatGPTの悪用を防ぐための10の対策を具体的に解説します。
①ChatGPTの公式サイトを使用する
ChatGPTを利用する際には、必ず開発元のOpenAIが提供する公式Webサイトやアプリからアクセスすることが重要です。公式Webサイト及びアプリであれば、安全にChatGPTの機能を利用することができます。
公式のChatGPTアプリについては、以下の記事でも詳しくご紹介しています。ぜひ参考にしてください。
②機密情報を入力しないようにする
機密情報とは、企業秘密や個人情報、その他公開することで不利益を被る可能性のある情報などを指します。 これらの情報をChatGPTに入力することは、厳密に禁止されています。
ChatGPTは、ユーザーが入力した情報を学習し、その情報を基に他のユーザーへの回答を生成することができます。そのため、機密情報を含むプロンプトを入力した場合、意図せずその情報が外部に漏洩してしまう可能性があるのです。
すでにインターネット上で公開されている情報であれば、原則として入力しても問題ありませんが、公開されている情報であっても機密情報と誤解される可能性のある表現は避けるべきです。
③デバイスを常に最新バージョンにしておく
サイバー攻撃の手法は日々巧妙化しており、新たな不正行為が絶えず生まれています。そのため、安心してデジタルデバイスを利用するためには、常に最新のセキュリティ対策を施しておくことが不可欠です。
特に、PCやスマートフォンなどのデバイスは、定期的なソフトウェアアップデートを行うことが重要です。アップデートにより、セキュリティに脆弱な部分や悪意のあるソフトウェアが侵入できる隙を埋め、より安全な状態を保つことができます。
ソフトウェアのアップデートは、デバイスの防護壁を強化するようなものです。最新のアップデートを適用することで、未知の脅威から身を守り、大切なデータを安全に保護することができるでしょう。
④チャットのやりとりを残さない
ChatGPTには、「Chat history & training」という機能があり、この設定をオンにしておくと、これまでに行われたチャットのやり取りが保存されます。この機能は、AIモデルの学習に利用されるため、より自然な会話ができるようになるというメリットがあります。
しかし、この機能をオンにしておくことで、万が一、アカウントが不正に利用された場合などに、過去のチャット履歴が第三者に閲覧されるリスクもあります。そのため、プライバシーを重視したい場合は、Chat history & trainingの設定をオフにすることをおすすめします。
この設定にすると、チャットのやり取りが保存されなくなり、外部からのアクセスを防ぐことができます。ただし、この設定にすると、自分自身でも過去のチャット履歴を見返すことができなくなるため、重要な情報については、別途メモなどに残しておくようにしましょう。
⑤API版のChatGPTを利用する
ChatGPT APIとは、ChatGPTを様々なソフトウェアやサービスに組み込むための橋渡しとなる技術です。異なるプログラムやソフトウェア同士が互いに情報をやり取りし、機能を連携させるためのインターフェースのようなものになります。
ChatGPT APIでは、企業が自社の機密情報を安心して利用できるという点で、Web版と大きく異なり、入力された情報は他のユーザーのモデルに共有されることがなく、自社専用のAIとしてカスタマイズすることができます。このような特徴から、APIは企業がAIをビジネスに導入する際の有力な選択肢となっています。
機密情報を取り扱う企業にとっても安心してAIを活用できる環境が整っていると言えるでしょう。
⑥企業向けのChatGPT Enterpriseを利用する
ChatGPT Enterpriseは、ChatGPTの機能を最大限に活かせるよう設計された企業向けのプランです。従来のChatGPTが提供するすべての機能に加え、企業が安心して利用できるよう、高いレベルのセキュリティが確保されています。
特に注目すべきは、米国公認会計士協会(AICPA)が定めるサイバーセキュリティのフレームワーク「SOC 2」に準拠している点です。SOC 2は、企業が取り扱う機密情報や顧客データを保護するための厳格な基準であり、ChatGPT Enterpriseが企業の機密情報を安全に取り扱えることを保証しています。
APIと同様、ChatGPT Enterpriseでも機密情報を使ったやり取りが可能です。さらに、すべての会話データが暗号化されるため、外部への情報漏洩のリスクを最小限に抑えています。つまり、企業は安心してChatGPT Enterpriseを導入し、自社の業務に活用できるということです。
⑦不正アクセスの種類を把握しておく
不正アクセスから自社を守るためには、まずはどのような種類の不正アクセスがあり、どのような手口で侵入されるのかを深く理解することが重要です。不正アクセスの種類や手口を把握することで、自社のセキュリティ対策がどの部分で不足しているのかを明確に把握できるだけでなく、万が一不正アクセスが発生した場合でも、迅速かつ的確な対応が可能になるためです。
⑧あらゆる角度からセキュリティ対策を実施する
ChatGPTの悪用を防ぐためには、多角的なセキュリティ対策が不可欠です。例えば、企業の機密情報を保護するためにDLPシステムを導入し、情報漏えいのリスクを大幅に軽減することができます。DLPは、ユーザーの行動ではなく、データそのものを監視するため、より確実なセキュリティ対策となります。
また、Microsoftが提供するAzure OpenAI Serviceは、高いセキュリティ環境下でChatGPTを利用できるサービスです。ブラウザからでも安全にChatGPTを利用でき、外部からのアクセス制限も可能です。これにより、セキュリティが不安なネットワーク環境下での利用も安心して行えます。さらに、ChatGPTへのアクセス権限を業務に必要な範囲に限定することで、情報漏えいのリスクを低減することができます。
⑨利用の際のガイドラインを設ける
企業がChatGPTを導入する際には、必ず利用ガイドラインを作成し、全社員に周知徹底することが重要です。ガイドラインは、従業員がAIを安全かつ効果的に利用するための羅針盤となり、企業全体のAI活用を円滑に進める上で重要な役割を果たします。
特に、個人情報や社外秘などの機密情報の取り扱いについては、厳格なルールを定める必要があります。これらの情報を誤ってAIに学習させてしまうと、情報漏洩のリスクが高まり、企業の信用失墜につながる可能性があるでしょう。
ガイドラインを作成する際は、「一般社団法人 日本ディープラーニング協会(JDLA)」が公開しているひな形を参考にすると、より効率的に作業を進めることができます。
参照:生成AIの利用ガイドライン|一般社団法人日本ディープラーニング協会
⑩従業員に対する教育を行う
ChatGPTを導入する際には、単にツールの使い方を教えるだけでなく、倫理的な側面やAIとの適切な付き合い方についても深く理解してもらう必要があります。
経営層は、従業員一人ひとりのITリテラシー向上に積極的に取り組むべきです。そのためには、定期的に研修を実施し、活発な質疑応答の場を設けることが重要です。研修では、ChatGPTの具体的な活用事例を紹介しながら、正しい使い方や注意点について丁寧に説明しましょう。
生成AIセミナー
ProSkilllの生成AIセミナーは、2日間で未経験でも生成AIについて理解することができる人気のセミナーです。ChatGPTの活用方法はもちろん、生成AIの種類と大規模言語モデル(LLM)の仕組みや質問の仕方や精度の上げ方、社内で活用する方法をしっかり学ぶことができます。
また、セキュリティやプライバシー、個人情報保護など生成AIのリスクや生成AIのアプリケーション化や独自データ回答システムの構築など実務ですぐ使える技術も身につきます。
ChatGPTの悪用防止にはセキュリティ対策をしよう
今回は、ChatGPTの悪用を防ぐために個人や企業ができる10の対策や実際に悪用された事例をご紹介しました。ChatGPTは、その便利さの裏に様々な悪用リスクを孕んでいるという側面も持ち合わせています。この機会に、自社のセキュリティ対策を改めて見直すことを強くお勧めします。
情報漏洩は、企業の信用失墜や場合によっては業務停止に繋がる深刻な事態を引き起こす可能性があるためです。ChatGPTの導入をきっかけに、自社の情報セキュリティ体制を強化し、より安全なビジネス環境を構築していくことが重要です。