AIサービスの進化とその裏に潜むセキュリティリスク

はじめに

「ChatGPT」をはじめとする対話型生成AIサービス(以下、AIサービス)の登場により、AIは私たちの生活に急速に浸透しつつあります。業務効率化やアート作品の生成など、AIがもたらすメリットは計り知れません。しかし、その一方でAIサービスの利用に伴うセキュリティリスクも顕在化しています。

本連載では、AIサービスのセキュリティリスクに焦点を当て、具体的な事例を交えながらその実態を解き明かしていきます。第1回となる今回は、進化し続けるAIサービスの現状と、それらに関する時事ネタをいくつか紹介します。

対話型生成AIの進化

ChatGPTをはじめとする様々なAIサービスが登場し、AIの利用が一般化しています。ここでは、これまでのAIサービスの活用事例を紹介します。

ChatGPTとその後発サービス

ChatGPTは2022年11月30日にOpenAI社によって公開されたサービスで、AIサービスのブームを巻き起こした代表的な存在です。ユーザーの質問に対して的確な回答を生成することができ、多くの企業や個人が利用しています。また、カスタムGPTの利用により、企業や個人が独自に調整したチャットボットを作成することもできます。

ChatGPTの登場以降、多くの企業がAIに注目し、独自のAIモデルを開発・提供しています。Google社やMicrosoft社といったメガテック企業は、生成AIを各種端末に標準搭載しました。Google社はAndroid端末に「Gemini」を搭載し、MicrosoftはブラウザのEdgeに「Copilot」を搭載しています。私たちがこれまでに使用していたデバイスで日常的にAIを利用できるようになりました。

動画や楽曲を生成するAIも登場し、特定の目的に応じたサービスを選択できるようになりました。このような状況は、まさに空前の生成AIブームと言えるでしょう。

外資系企業だけでなく、国内企業もAIサービスの提供に乗り出しています。Preferred Elements社により開発された「PLaMo」は国産のAIサービスです。対話型AIアシスタントチャットサービスである「PLaMo Chat」は期間限定で無料で提供されています。

業務ツールにAIを組み込んだ事例

業務ツールにAIを組み込んだ事例として「GitHub Copilot」を紹介します。GitHub Copilotは、Microsoft社による開発者向けのエディタである「Visual Studio Code」に組み込まれたAIサービスです。

開発者が記載中のコードに対して、GitHub Copilotはリアルタイムでコードを予測し、開発者に適切なコードの候補を提示します。これにより、手動でコードを書く頻度が少なくなり単純作業がAIにより補完されるため、開発者はより複雑な問題解決や設計に集中できるようになりました。私自身もGitHub Copilotを利用しており、これをなくしてはもう開発ができないと言っても過言ではありません。

ドキュメント管理ツールのNotionにも「Notion AI」というAIが組み込まれています。Notion AIはドキュメントのテンプレートや構造を提案するだけでなく、長文のノートや議事録を要約し、スペルチェックや文法修正まで行います。これにより、短時間で質の高いドキュメントを作成できます。

今後も、生成AIはより多くのデバイスやソフトウェアに統合され、より高度な機能を提供するようになるでしょう。これらのAIサービスを活用することで、業務の自動化や効率化がさらに進むと期待されます。

AI開発企業によってクローリングが行われている

生成AIは、大量のデータを学習することで高度な生成能力を獲得するため、高性能な言語モデルを構築するには大量のデータが必要です。この学習用のデータの収集のために、AI開発企業はWeb上の情報をクローリングし、データを収集しています。

しかし、AI開発企業によるクローリングは、Webサイトの管理者やユーザにとって望ましくない場合があります。管理者自身やユーザが作成したコンテンツを生成AIに利用されることを嫌がる場合があり、その結果、AI開発企業によるクローリングをブロックするWebサイトも増えています。CloudflareはAI開発企業のクローリングをWebサイト担当者が簡単にブロックできる機能を提供しています。

【参考】AIndependence(AIとの分立)を宣言しましょう：AIボット、スクレイパー、クローラーをワンクリックでブロック
https://blog.cloudflare.com/ja-jp/declaring-your-aindependence-block-ai-bots-scrapers-and-crawlers-with-a-single-click/

GitHub上で誤って公開されるAPIキーが続出

開発者がAIサービスを用いたソフトウェアを開発する際には、AIサービスの設定画面からAPIキーをダウンロードし、コードから利用することが一般的です。しかし、開発者がGitHubの公開リポジトリ上でAPIキーを誤って公開してしまう事例が多く見受けられます。

誤って公開されたAPIキーは、GitHubの検索機能を用いて簡単に見つけることができ、悪意のある第三者によって悪用されるリスクがあります。APIキーなどのクレデンシャル(認証情報)が誤って公開されるのは、AIサービスに限ったことではありませんが、ブームとなっているAIサービスの利用が急増したことで、この問題はより顕在化しています。

サプライチェーン攻撃のリスク

AIサービスに限ったことではありませんが、人気のサービスやライブラリはサプライチェーン攻撃の標的となりやすいです。ここでは、サプライチェーン攻撃の事例を紹介します。

サプライチェーン攻撃とは

ソフトウェア開発においては、様々なライブラリやフレームワークが組み合わされて1つのソフトウェアが作られます。この際に外部から提供されるライブラリやフレームワークを利用することが一般的で、これらの外部提供物をサプライチェーンと呼びます。このサプライチェーンと呼ばれる構造は、ソフトウェア開発の効率化に貢献する一方でセキュリティリスクも孕んでいます。

サプライチェーン攻撃とは、このサプライチェーンに悪意のあるコードを混入させることで、最終的な成果物であるソフトウェアに悪影響を及ぼす攻撃手法のことを指します。一度悪意のあるコードが組み込まれてしまうと、そのソフトウェアを利用する全てのユーザが攻撃の対象となります。サプライチェーン攻撃は、サプライチェーンの種類によりソフトウェアサプライチェーン攻撃、サービスサプライチェーン攻撃、ビジネスサプライチェーン攻撃の3種類に分類されます。ここで紹介した攻撃は、ソフトウェアサプライチェーン攻撃に分類されます。

サプライチェーン攻撃の実例

最近の事例として、ChatGPTやClaudeといった人気のAIサービスを装い、悪意あるライブラリを公開するソフトウェアサプライチェーン攻撃が報告されています。Pythonライブラリの公式リポジトリであるPython Package Index(PyPI)には、攻撃者がAIサービスのAPIを利用できるように見せかけた悪意あるパッケージを公開していました。これらのパッケージは「gptplus」「claudeai-eng」と名付けられ、GPT-4 Turbo APIおよびClaude AI APIにアクセスする方法を提供する内容でした。

実際に、APIキーを通じてAIサービスを利用可能でしたが、インストール時に情報窃取用のマルウェア「JarkaStealer」を展開するコードが含まれていました。

JarkaStealerはロシア語圏のダークウェブで販売されており、わずか20ドルで購入できます。JarkaStealerは、次の機能を持っています。

• ブラウザからのクレデンシャルの取得
• TelegramやDiscord、Steamなどのアプリからセッショントークンの取得
• スクリーンショットの取得

gptplusは「ChatGPTの有料版のAPIであるGPT-4 Turbo APIに無料でアクセスできる」と謳っていました。無料で不正にAIサービスにアクセスできるという誘惑に引かれ、開発者が無警戒にこれらのパッケージを利用することで攻撃者の罠にかかってしまうという事例です。これらのパッケージは2023年11月にアップロードされ、PyPIから削除されるまでに30ヶ国のユーザーによって1,700回以上インストールされていました。

【参考】JarkaStealer in PyPI repository
hhttps://www.kaspersky.com/blog/jarkastealer-in-pypi-packages/52640/

サプライチェーン攻撃も、AIサービスに限ったことではありません。しかし、AIサービスの利用が増加するにつれ、関連するソフトウェアがサプライチェーン攻撃の標的となるリスクは高まっています。

おわりに

AIサービスは、業務や日常生活を革新する一方で、セキュリティ上のリスクも生み出しています。また、対策についてもまだ未整備の部分が多く、今後の課題となるでしょう。連載を通じて、AIの進化に伴うセキュリティリスクを共に学び、対策を考えていければと思います。

次回は、AIサービスが誤情報を生成してしまう「ハルシネーション」と呼ばれる問題について取り上げます。