AIがハッカー攻撃を防ぐ方法

ビジネス ワークフローに AI ツールを導入すると、ハッカーにとってより価値が高く、防御が困難になる可能性のある情報が利用可能になる可能性があります。

小規模なスタートアップ企業から大規模な従来型企業まで、AI が業界全体で IT 運用を変革する可能性が高まっているようです。ある意味、AI の出現は平等化の力となっています。AI はまだ初期段階にあるため、すべての企業が同じようにこれらの新しいツールを活用する方法を模索し始めています。職場内外での AI の使用に伴う新たなセキュリティ対策の開発についても、ほとんどの企業が同等の立場にあります。

これまでの破壊的技術と同様に、探索における主要な課題は、イノベーションと情報セキュリティの適切なバランスをとることです。 AI はビジネス運営を強化する可能性を秘めていますが、ビジネスをリスクにさらす可能性もあります。 CTO は AI の導入に細心の注意を払うことをお勧めします。AI は IT リーダーのビジネスのやり方に革命をもたらすだけでなく、ハッカーやその他の悪意のある人物による攻撃方法にも同様に革命をもたらす可能性があるからです。

ハッカーは長い間、ビジネス競争で悪用できる企業独自のデータであれ、個人の富を増やすのに役立つ個人データであれ、データを「戦利品」として狙ってきました。AI ではデータの盗難や悪用を防ぐことはできません。

AIが収集したデータに対するハッカーの攻撃

AI はデータから学習できるだけでなく、大量のデータの処理と解釈にも使用できるため、AI の普及により、より多くのさまざまな種類のデータが公開され、ハッカーの標的となる可能性があります。つまり、ビジネス ワークフローに AI ツールを導入すると、ハッカーにとってより価値が高く、防止がより困難な情報を人々が提供してしまう可能性があります。

ビジネスの意思決定者であれ個人であれ、AI の使用を選択する場合は、AI プログラムにデータを提供することに伴うリスクを認識し、下した決定に自信を持てるようにする必要があります。企業環境では、個々のチームメンバーが単独でこの決定を下すことは避けるべきだと私は考えています。 CTO だけでなく、マーケティングや法務などの他の主要グループの代表者も含む情報に詳しいチームが、AI ツールに関するすべての決定を導く必要があります。

人工知能がハッキングを促進

自社のビジネスに最大の利益をもたらす AI の責任ある使用に関するポリシーの策定を目指す人は、直面する脅威の変化を理解することで恩恵を受けることができます。 AI の進歩によってハッカーの標的が変わることはないかもしれませんが (情報は依然として貴重な商品である可能性があります)、ハッカーが標的を定める方法はほぼ確実に変化するでしょう。

結局のところ、AI は、悪意のあるものも含め、あらゆる種類の分析プロセスを大規模に自動化できる強力なツールです。したがって、多くの CTO が AI の多くの潜在的な使用事例を活用することに当然熱心である一方で、ハッカーも同様に熱心であることを私たちは皆忘れてはなりません。

多くの開発者が AI ツールを構築する際に追求する熱心な目標の 1 つは、それらのツールを可能な限り人間らしく見せることです。 ChatGPT のような大規模言語モデル (LLM) は、言語の流暢さだけでなく、トーンや魅力的な会話をシミュレートする機能もシミュレートできます。

最も成功したケースでは、AI がチューリング テストに合格できる可能性があります。チューリング テストは、コンピューター科学者のアラン チューリングが提案した、機械が人間の特徴を示す能力を判断するためのテストです。チューリング テストに合格するということは、機械が何も知らない人をだまして、別の人と話していると思わせることができることを意味します。

これはフィッシングハッキングの規模と効果に大きな影響を与える可能性があります。フィッシングとは、組織や個人になりすまして被害者を騙し、金銭や機密情報、機密アクセス権（パスワードなど）を渡させることです。近年増加している IRS 詐欺などの現代のフィッシング詐欺は、2000 年代初頭の「ナイジェリア王子」詐欺よりもはるかに巧妙ですが、人々を説得するのは面倒で時間がかかります。

AI はハッカーが求めているソリューションを提供する可能性があり、CTO はそれを恐れるべきです。必要な情報を素早く解析し、政府機関の代表者やその他の人物の高度ななりすましを可能にするツールの存在は、被害者に情報を提供するよう説得するための多数の同時会話への扉を開くことになる。これは、比較的小規模なハッキング活動によって、これまで以上に高度な詐欺行為が実行される可能性があることを意味している可能性があります。

しかし、それで終わりではありません。チーム メンバーが LLMAI とやり取りしている場合、機密データを秘密に保つよう注意していても、気付かないうちに会社にリスクをもたらす可能性のある情報を LLMAI に提供している可能性があります。誰と話しているときでも、一見ありふれた話題であっても、AI は相手がどのように会話をするのか、どんな話題に興味を持っているのかなどを学習します。

実際のところ、たとえチームが AI とやり取りをまったく行わなかったとしても、私たち全員が、閲覧履歴からメールの購読、操作に使用され、インターネット上に流れ、購入可能なその他の情報まで、比較的保護されていないデータを大量に保有しています。これは、会社の CEO や CTO を含むすべてのチーム メンバーに当てはまる可能性があります。ハッカーが個人データを購入して AI をトレーニングしたり、人と直接やりとりして AI が学習した情報を使ってその人になりすますことは想像に難くありません。

これは個人的なレベルでも十分恐ろしいことですが、そのような機械が私たちとチャットしていると思って友人や家族からどのような情報を収集できるか想像してみてください。しかし、専門的なレベルでは、従業員がハッカーに代わって、同僚からの指示を装って業務を危険にさらす可能性のあるタスクを実行する機会が生まれます。この情報を使用して作成される攻撃は、現在見られる典型的なフィッシングよりも、より標的を絞ったものとなり、より洗練され、高度になります。

この進歩は、ハッキングのより基本的かつ細かい要素にも引き継がれています。これまで、ハッカーがチームメンバーや企業全体に関する情報を収集したい場合、ある程度の時間を費やす覚悟が必要でした。 AI を使用すると、大量の情報をほぼ瞬時に処理できるアルゴリズムの助けを借りて、退屈な偵察作業の多くを効率化できます。さらに、AI は収集されたデータを分析できるため、ハッカーにとっては脆弱性や攻撃ポイントを特定できるようになります。これらすべてにより、ハッカーはより多くの大規模な攻撃を迅速に開始できるようになります。

同様に、AI が瞬時に情報を収集し、脆弱性を特定して分析できれば、これまでにない速さで高度な対策を開発することも可能になります。通常、ハッカーがコンピューター、サーバー、またはネットワークにマルウェアをインストールしたい場合、まず脆弱性を見つけるための偵察を実行し、どのマルウェアがそれらの脆弱性を最もよく悪用するかを判断してから、ソフトウェアを作成する必要があります。 AI の強力な分析および推定機能により、この 3 段階のプロセスはほぼ瞬時に実行できます。これは、高度にカスタマイズされ、ほぼ検出不可能なマルウェアが、ほぼリアルタイムで情報を収集し、ウイルス対策を回避できることを意味する可能性があります。

だからこそ、CTO と CIO はハッカーよりも先に考える必要があると私は言います。すべての IT リーダーは、組織がこれらの攻撃に対して脆弱になる原因を理解し、AI ハッキングの新たな波が到来する前に防御を強化する必要があります。

要約する

AI の進化に関する議論は至る所で行われており、従来の技術は、AI がすでに享受している一般人の理解レベルに達する前に、開発と導入がさらに進んでいる場合が多くあります。大規模な AI ハッキング攻撃を防ぐ方法はもちろん、それに対処する方法についてもまだ十分な理解が得られていません。新しいテクノロジーも非常に刺激的で、さまざまな業界の CIO や CTO に無数の扉を開くことになるでしょうが、ハッカーも私たちと同じように興奮していることを認識する必要があります。