米国政府が警告: ​​ChatGPT は重大なセキュリティリスクをもたらす

最近、米国連邦政府は、ユーザーはChatGPTのサイバーセキュリティリスク、特にフィッシングやマルウェア開発の分野に細心の注意を払う必要があるとする報告書を発表しました。

同政府部門は発表した諮問意見報告書の中で、マイクロソフトが支援する人工知能ツール「ChatGPT」が前例のない成功を収めているものの、多数の大手企業や資本がAI分野に殺到し、一時はAIが現在最もホットな分野の一つになっていると警告した。

しかし、AI は、特にフィッシング メールの作成やマルウェアの生成に関して、セキュリティ リスクももたらします。ChatGPT に代表される AI ツールは、重大なセキュリティ リスクをもたらします。報告書では、このような AI ツールがもたらす脅威を防ぐために、企業は事前に細心の注意を払い、十分な注意を払い、最悪の事態を回避するよう細心の注意を払う必要があると述べています。

攻撃者はChatGPTを利用して悪意ある能力を強化している

レポートには、悪意のある攻撃者が ChatGPT を使用する方法の一部が次のように記載されています。

• マルウェア生成: ChatGPT を使用してマルウェアを生成することは、もはや単なる理論ではありません。悪意のある攻撃者はそれを使用するスキルをますます高めており、ダーク ウェブ上でさまざまな議論や試みが始まっています。
• フィッシング メールの作成: マルウェア生成とは異なり、ChatGPT はフィッシング メールに関してユーザーに強力な機能を実証しました。悪意のある行為者はこれを悪用してフィッシングやスピアフィッシングのメールを生成する可能性があり、これらのメールはメールプロバイダーのスパムフィルターをすり抜ける可能性があります。
• 詐欺ウェブサイト: ChatGPT は、コード生成の障壁を下げることで、スキルの低い脅威アクターが偽装ランディング ページやフィッシング ランディング ページなどの悪意のあるウェブサイトを簡単に構築できるように支援します。たとえば、スキルがまったくないかほとんどない悪意のある攻撃者が ChatGPT を使用して既存の Web サイトを複製し、それを変更したり、偽の電子商取引サイトを構築したり、スケアウェア詐欺などのサイトを運営したりする可能性があります。
• 偽情報の拡散: ChatGPT は、非常に説得力のある文章を書いたり、短期間で何千もの偽のニュース記事やソーシャル メディアの投稿を生成したりできるソフトウェアへのアクセスをユーザーに提供します。

企業およびユーザー向けセキュリティガイド/注意事項

1. フィッシングメールに対する防御を強化する

• 不明、予期しない、または疑わしい電子メール、リンク、添付ファイルは絶対に開かないでください。
• 添付ファイルをダウンロードする前に、たとえ信頼できるメール サービス プロバイダーであっても、プロバイダーが提供するウイルス対策ソフトウェアを使用してスキャンしてください。電子メール サービスがウイルス スキャンを提供していない場合は、ダウンロードしたすべてのファイルを開く前にローカルのウイルス対策ソフトウェアでスキャンできます。
• 個人用デスクトップ、ラップトップ、携帯電話、ウェアラブルデバイスなど、すべてのコンピュータデバイスのオペレーティングシステムとソフトウェアアプリケーションを更新します。
• すべてのコンピュータ デバイスで評判の良い、信頼できるウイルス対策ソフトウェアを使用します。
• 公式デバイスで個人アカウントを使用しないでください。
• 可能な限り多要素認証 (MFA) を使用します。
• 個人情報や認証情報を、許可されていない/疑わしいユーザー、Web サイト、アプリケーションなどと決して共有しないでください。
• リンクを直接クリックするのではなく、必ずブラウザに URL を入力してください。
• リンクは常に https を使用して開き、http サイトにはアクセスしないでください。

2. マルウェアの偽装を見分けるガイド

（１）管理者

• OS、BIOS、アプリケーション レベルで強化されたシステムを実装して、受信トラフィックとユーザー権限を可能な限り制限します。
• システムの強化により、許可されていないストレージ メディア (USB など) をブロックします。
• システム内でのマルウェアの横方向の拡散を最小限に抑えるために、リムーバブル メディアを頻繁にフォーマットします。
• ファイル ハッシュ、ファイルの場所、ログイン、失敗したログイン試行によるネットワーク アクティビティを監視します。
• よく知られた信頼できるマルウェア対策、ウイルス対策、ファイアウォール、IP、IDS、SIEM ソリューションを使用します。
• オフライン LAN とオンライン ネットワークに別々のサーバー/ルーターを使用します。
• 特定のユーザーにインターネット アクセスを許可し、必要に応じてデータ使用量やアプリの権限を制限します。
• ダウンロードする前に、デジタル コード署名技術を使用してソフトウェアとドキュメントを検証します。
• メールシステム管理者の制御およびその他の重要なシステムに MFA (多要素認証) を実装します。
• 重要なデータのバックアップを常に定期的に維持します。
• 管理者レベルのパスワードを定期的に変更します。
• すべてのオペレーティング システム、アプリケーション、およびその他のテクノロジー機器に定期的にパッチを適用し、更新します。
• 悪意のあるコード実行の攻撃対象領域を減らすために、ユーザーは常に標準ユーザー権限を持つアカウントでログオンすることをお勧めします。

（２）エンドユーザー

• ダウンロードする前に、二次的な手段（電話、SMS、口頭）を介して電子メール/添付ファイルを送信する信頼できるユーザーを必ず再認証してください。
• 疑わしい活動があった場合は直ちに管理者に報告してください。
• 重要なデータはオンライン システムに保存せず、スタンドアロン システムに保存してください。

（3）ChatGPTユーザーセキュリティガイドライン

• ChatGPT を使用する際は、共有する情報に注意してください。パスワード、財務情報、個人情報などの機密情報や秘密情報の共有は避けてください。
• リンクや添付ファイルには注意してください。 ChatGPT は回答の一部としてリンクや添付ファイルを提供することがありますが、クリックする前に注意してください。リンクまたは添付ファイルのソースを常に確認し、疑わしいソースや不明なソースには注意してください。
• 政府機関職員の携帯電話はChatGPTに使用することはできません。

（4）ChatGPTの使用中にセキュリティ上の問題が発生した場合は、すぐにOpen AIに報告してください。

参考リンク: https://www.thenews.com.pk/latest/1088379-warning-for-those-using-chatgpt