企業が知っておくべきAIチャットボット導入時のセキュリティリスクに関する警告

英国国家サイバーセキュリティ庁は、AIツールは簡単に操作されて悪意のあるタスクを実行できることを示す研究が増えていることを受け、業務にAIチャットボットを導入している組織に警告を発した。

英国サイバーセキュリティセンター（NCSC）は8月30日のブログ投稿で、大規模言語モデル（LLM）と呼ばれる「人間のように」対話できるアルゴリズムに関連する潜在的なサイバーセキュリティ問題を専門家はまだ十分に理解していないと述べた。

NCSCは、特にこのようなモデルがビジネスプロセスに組み込まれている場合、リスクが生じる可能性があると警告しています。また、学者や研究者は最近、AIに不正なコマンドを与えたり、組み込みの安全策を回避したりすることで、AIを「騙す」方法を発見しています。

生成 AI ツールはチャットボットとして使用されており、インターネット検索だけでなく、顧客サービスや営業電話も置き換えることが期待されています。

たとえば、銀行に導入された AI チャットボットは、ハッカーが適切な「指示」を設定した場合、騙されて不正な取引を行う可能性があります。

そのため、最近の AI ベータ リリースについて、NCSC は「LLM を中心にサービスを構築している組織は、新しい製品をベータ版で使用している場合と同じくらい注意する必要がある」と警告しています。

最近のロイター/イプソスの調査によると、多くの企業従業員がメールの下書き、文書の要約、初期調査データの収集などの基本的なタスクを実行するために ChatGPT などのツールを使用していることがわかりました。

このうち、上司が外部の AI ツールの使用を明確に禁止していると答えた従業員は約 10% にとどまり、25% は会社がこの技術の使用を許可しているかどうかを知らなかった。

セキュリティ企業RiverSafeの最高技術責任者、オセロカ・オビオラ氏は、ビジネスリーダーが必要なチェックを行わなければ、AIをビジネスオペレーションに統合するための競争は「壊滅的な結果」をもたらすだろうと述べた。「リーダーはAIのトレンドを追うのではなく、慎重に検討し、メリットとリスク、そしてビジネスを守るために必要なセキュリティ対策を評価するべきだ」

フェイクニュースとハッカー

世界中の当局は、OpenAIのChatGPTのようなLLMの普及を規制しようとしています。新技術のセキュリティに関する懸念は政策上の焦点となっており、米国とカナダでは最近、ハッカーが生成AIを違法行為に利用する事例が増加していることが明らかになっています。

あるハッカーは、悪意のある素材で「訓練」されたLLMを発見し、送金詐欺を作成するよう指示したと述べています。AIは、受信者に緊急の請求書の支払いを求めるメールを生成して応答しました。

2023年7月、カナダサイバーセキュリティセンターは、「メール詐欺、マルウェア、偽情報、虚偽表示」におけるAIの利用が増加していることを確認しました。同センター所長のサミ・コウリー氏は、サイバー犯罪者がこの新しい技術を積極的に悪用していると主張しました。

同リーダーはまた、マルウェアを作成するためのAIの利用はまだ初期段階にあるものの、AIモデルは急速に発展しており、その悪意あるリスクを制御できなくなる状況に容易に陥るだろうとも付け加えた。

2023年3月には、欧州警察機構ユーロポールも、ChatGPTは「基本的な英語のみを使用しても、非常にリアルな方法で組織や個人になりすますことができる」とする報告書を発表しました。同月、英国国立サイバーセキュリティセンターは、「LLMはサイバー攻撃を支援するために利用できる可能性がある」と断言しました。