インテリジェントウェイブ メールマガジンVol.37

更新日:

▼本日のトピックス▼(目次)

ChatGPTの利用と情報セキュリティについて

ChatGPTとは

ChatGPTは、OpenAI社が20221130日に公開したAIチャットボットサービスです。

ChatGPTは大規模言語モデル(Large Language Model)と呼ばれる自然言語処理モデルをベースに開発された「GPT-3.5」を利用しています。

大量のデータから学習して、ユーザがテキストでのやり取りで調べたいことをチャット形式で回答します。また、データの収集やソフトウェアに使うプログラムを生成することもできます。

有料のChatGPT Plusの最新モデル「GPT-4」は、回答の精度や会話の理解力が向上し、より自然な対話が可能といわれています。このような機能からChatGPTは教育、マーケティング、翻訳、コンテンツ生成等、幅広い領域で応用が期待されています。

ChatGPTの利用におけるセキュリティ課題

実際にChatGPTは多くの企業や自治体で活用され始めています。しかし、業務でChatGPTを利用する際に最も懸念される点が情報漏洩リスクであり、利用者はデータの取り扱いに注意する必要があります。

ChatGPTに入力したデータからの情報漏洩

米シリコンバレーのセキュリティーベンチャー「Cyberhaven」によれば、2023321日時点で顧客企業(社員数合計160万人)社員の8.2%が職場でChatGPTを利用したことがあり、社員の3.1%が機密情報をChatGPTに入力したことがあるといいます。

韓国サムスンでは、ソースコードのデバッグや最適化のためにChatGPTに社内ソースコードをアップロードしてしまったり、会議の録音データをChatGPTにアップロードし議事録の作成に使ってしまった事例がありました。

一度ChatGPTに送信された情報は、外部サーバに保存されるためデータの削除が難しく、入力したデータは学習データとしてChatGPTに取り込まれる為、他のユーザに利用され、情報漏洩につながってしまう可能性があります。

ChatGPTのユーザアカウントが盗まれたことによる情報漏洩

無料で利用できるChatGPTは、初期設定ではユーザのチャット履歴が保存されるので、アカウントが盗まれた場合、入力した機密情報が漏洩するリスクがあります。

Group-IBは直近1年間でインフォスティーラ(情報窃取型マルウェア)に10万を超えるChatGPTユーザアカウントが盗まれたと伝えました。ChatGPTアカウントの漏洩は20235月にピークに達し、最も侵害された地域はアジア太平洋地域だったと報告されています。

ChatGPTを偽装した悪意あるアプリの利用

ChatGPTを模したサイトでユーザを騙してマルウェアをダウンロードさせたり、機密情報を共有させたりする悪意なサイトも出回っています。

ChatGPTを偽装したサイト(下図)で、「Download for windows」ボタンをクリックすると、実行可能なアーカイブファイルがダウンロードされます。ファイルを実行すると、トロイの木馬がコンピュータにインストールされ、ブラウザで保存されたアカウントの認証情報が盗まれます。

chatgpt_image.p

出展: ChatGPTをテーマとした詐欺攻撃が増加中

別の偽サイトはChatGPTのサービス利用料を支払うように誘導し、クレジットカード情報や電子メールアドレスなどの機密情報を窃取します。

chatgpt_scam

出展: ChatGPTをテーマとした詐欺攻撃が増加中

有効な対策が重要

企業がChatGPTを利用する際には、上述したセキュリティの課題をよく理解し、特に機密情報の取扱いには慎重な検討と対策が必要です。

ChatGPTの利用禁止や運用ルールの策定

前述したようにChatGPTのセキュリティリスクから、国内外で通信業から金融まで幅広い企業でChatGPTの利用を制限しています。

国内においては、ソフトバンクでは社員の利用ルールを検討しており、富士通では法律や論理上の課題を社員に通知し、活用法を検討しています。

海外の例としては、アマゾン・ドット・コムは社員に対し機密情報や自社で開発中のプログラムを入力しないよう注意喚起しており、JPモルガン・チェースやバンク・オブ・アメリカ、ドイツ銀行など複数の金融機関も社員の利用を禁止または制限しています。

APIを利用したツールの導入

入力情報が学習データとして利用されることによる情報漏洩リスクを回避するために、ChatGPTAPIを利用したツールを活用するケースがあります。ChatGPTに直接情報を送信するのではなく、ChatGPTAPIを利用して開発されたサービスで活用することで、より安全にChatGPT機能を利用することが可能であるといわれています。

最後に

内部情報漏洩対策ソリューションCWATは、社内からのChatGPTへのアクセスを可視化でき、運用ルールの策定に活用できます。また、社内でChatGPTの使用を禁止する場合、WEBサイト上のChatGPTへのアクセスや、アプリケーションのインストールを制御することも可能です。

cwat_log_chatgpt

図:CWATChatGPTを利用したログ

CWATは端末・ユーザ・グループごとに柔軟なポリシー作成が可能で、端末上のすべての操作を監視し、クライアントPC端末からの情報漏洩を監視・制御します。また、高精度なログ取得により利用状況を「見える化」し、テレワーク環境やオフライン時の操作も制御可能です。

CWATオンプレミス版クラウド版を提供しています。

出典(参考文献一覧)

※1 Tech plus | ChatGPTアカウントが10万以上盗まれる、機密情報漏洩の恐れ (参照日:2023-08-10)

※2 GROUP-IB | Group-IB Discovers 100K+ Compromised ChatGPT Accounts on Dark Web Marketplaces (参照日:2023-08-10)

攻撃を成立させない 新発想のエンドポイントセキュリティMorphisec 資料ダウンロードはこちら