Web3.0やChatGPTの技術革新に潜む影　～サイバー攻撃に悪用される技術～

次世代インターネット「Web3（ウェブスリー）」の技術を悪用したサイバー攻撃が相次いでいます。データを分散して管理し、改ざんを難しくする技術が当局による捜査や対策を妨害する目的で使われているのです。サイバーセキュリティーの専門家は、Web3技術が本格普及する前に捜査手法を立て直す必要があると訴えています。

2022年末、米国のセキュリティー研究者は「グルプテバ」と呼ばれるマルウェア（悪意のあるプログラム）にWeb3技術が利用されていることを発見したと発表しました。無害を装ってパソコンなどに侵入する「トロイの木馬」型のプログラムで、攻撃者は感染した端末を操作して暗号資産（仮想通貨）を採掘していたそうです。

捜査当局は、マルウェアを無害化するために感染した端末とC2サーバーの通信を断ち切ろうとするケースが多いが、感染力の高さから「最恐ウイルス」と呼ばれる「エモテット」では、欧米の捜査機関などがC2サーバーのIPアドレスを書き換えるなどの作戦を実行して21年には一時活動停止に追い込んでいます。

グルプテバの攻撃者はWeb3技術を使い、捜査機関からC2サーバーの「住所」を隠そうしたとみられています。ブロックチェーンに保管するデータは改ざんが難しく、エモテットの無害化作戦に用いたアドレスを書き換える手法も使いにくくなります。

最新の技術がいかに悪用されているかは、下記グラフからも一目瞭然です。

理論上はブロックチェーンに記録したプログラムをC2サーバーの代わりとして、マルウェアに指示を出すことも可能だという。サイバー攻撃の司令塔が分散して存在することになり、捜査機関が犯罪に使われるIT（情報技術）インフラを差し押さえることは難しくなります。

Web3技術を基盤とする各種のITインフラに特定の管理者はおらず、悪意を持った攻撃者を締め出すのは難しい。消費者が利用する仮想通貨関連アプリにブロックチェーンの悪用を防ぐ仕組みを導入するなどの対策も考えられるが、「回避手段を生み出す攻撃者とのいたちごっこになるだろう」と予想しています。

一方、セキュリティ研究者やセキュリティベンダーは、ChatGPTがサイバーセキュリティにもたらす影響を調査しています。

一部の専門家は、ChatGPTのようなAIがサイバー犯罪を助長するおそれがあるとして、政府や当局による適切な規制の必要性を訴えています。

Check Point社やCyberArk社といった複数ベンダーが、ChatGPTを用いたフィッシングメールやマルウェア生成に成功しました。また、既にサイバー犯罪者たちもChatGPTの悪用に向けて活動を開始しています。

ダークウェブ上のフォーラムでは、ChatGPTによって生成されたAndroid用マルウェアのソースコードや、バックドアツール、ランサムウェアなどのソースコードが投稿されています。

2023年2月現在、OpenAIは、アルゴリズムAPIを利用可能な国をWebサイトで公開しています。ロシア、中国、イラン、エジプトなど一部の国はAPIを利用することができませんが、このアクセス制限を迂回する手段もダークウェブ上で議論されています。

現在は、ジオフェンシングによってChatGPTアクセスを規制された諸国向けに、プレミアムアカウントを販売する動きがダークウェブ上で活発化しています。

サイバー犯罪の世界では分業化が進んでいます。例えば、ターゲットへの不正アクセス手段を提供するIABや、ランサムウェアの運用環境を提供するRaaS、様々な用途に利用可能なマルウェアを販売するMaaS、DDoS攻撃インフラをサブスクリプションで提供するブーターなど、各集団ごとの専門技術に特化したサービス提供が普及しています。

犯罪者はこうしたサービスを利用することによって、従来よりも効率的かつ手軽に攻撃を行うことが可能となりました。

ChatGPTは、ハッキングに関する専門的な知識がなくともマルウェアやフィッシング攻撃の手段をもたらすツールとして、サイバー犯罪の敷居をさらに低くする可能性があります。

Check Point社によれば、ハッカーたちは既にChatGPTを利用した「なりすまし」用チャットボットの開発をおこなっています。このチャットボットは、ChatGPTを利用して若い女性を装い、マッチングアプリ等でターゲットを欺く目的で使われるとのことです。

また同社は、AIの制限を迂回し、精巧なフィッシングメールの文面を作成することにも成功しています。

ChatGPTの特性は、もっともらしい、自然な文章や回答を生成する点にあります。この特性が将来的に、ソーシャルエンジニアリングに応用されるおそれがあると同社は示唆しています。

被害額の最も大きいサイバー犯罪であるビジネスメール詐欺も、ChatGPTの文章生成・翻訳能力による恩恵を受ける領域といえます。

ChatGPTは犯罪やプライバシー侵害につながる質問や回答を制限しています。しかし報道では、セキュリティ研究者がこの制限をうまく回避することで、キーロガーやランサムウェアと同等の機能を持つソースコードをAIから引き出すことに成功したとされています。

CyberArk社は、ChatGPTを利用し低労力でポリモーフィック・マルウェアを作成できるとのレポートを公開しました。

ポリモーフィック・マルウェアは、ファイル名や暗号化形式、ソースコードなど、特定につながるデータを変化させ、セキュリティ製品による検知を回避する能力を備えたマルウェアです。

ポリモーフィック式キーロガーとAIを連携させたBlackMambaというマルウェアPoCも研究者によって作成されています。

他にも、コーディング能力を悪用したターゲットに対する脆弱性スキャンや、エクスプロイト、悪性マクロ、Lolbinの作成といった用途も考えられます。

Security Intelligence誌の記事では、チャットボットに対する質問を通じて、nmapおよびそのスクリプトNSEを利用したSMB脆弱性スキャンのコマンドを出力させる事例が紹介されています。さらに、この脆弱性攻撃がWannaCryランサムウェアに悪用されたEternalBlueエクスプロイトであるとの補足も提示しており、攻撃／防御双方に対する潜在的な有用性が伺えます。

このように、最新の技術ですら使用方法を間違えると悪意あるアプリになり替わる時代です。自社で導入をする場合、どのような影響があるのか？を今一度考え、適切なサービスを導入することをお勧めします。