知らないうちにAIが悪意のある人物に利用されることもありますか?
OpenAIが開発した自然言語生成モデルである「ChatGPT」に「知らないうちにAIが悪意のある人物に利用されることもありますか?」という質問をしてみた。
回答としては「そういうこともあります。AIの技術は高度に進歩しており、その結果、悪意のある人物がAIを利用して様々な目的を達成するために、AIを悪用することがあります。」というものだった。
これに対して「悪意のある人物にAIが利用されてしまった時の対処方法」についても質問してみた。
これについての回答が、「個人のプライバシーやセキュリティーが侵害された場合は、法的手段を講じることができます。また、そのような問題が起きた場合は、警察や当局に報告することも検討することができます。さらに、AIを悪用する行為を防ぐために、業界団体や政府が取り組む可能性もあります。」ということだったが、これについては疑問が生まれたので、それについて書きます。その疑問とは、「警察や当局に報告する」、「業界団体や政府が取り組む可能性」とあるが、場合によっては、警察や政府自体が、悪意のある人物にお金で買われている可能性、また地位や権力を利用して不正に利用されることもあるのではないか?と考える。そうなった場合は、対処が極めて難しいと考える。
ハッキングについての知識を得るための正しい方法は?
OpenAIが開発した自然言語生成モデルである「ChatGPT」に、「ハッキングについての知識を得るための正しい方法は?」について質問してみた。
正当な手段でハッキングを学ぶことです。ハッキングは、不正な目的でコンピューターシステムを操作する行為を指します。そのため、ハッキングを学ぶこと自体が不正な行為である可能性があります。また、ハッキングを学ぶことで犯罪に手を染める危険性があります。そのため、ハッキングに関する知識を得るためには、適切な教育プログラムや資格試験などの正当な方法を通じて学ぶことが大切です。また、ハッキングに関する知識を得ることで、コンピューターシステムを保護するための知識も得ることができます。
上記の回答が得られたが、この回答について疑問に感じたことを書いていきます。「正当な手段」とあるが、この正当な手段とは「適切な教育プログラムや資格試験などの方法を通じて学ぶ」とあるが、「教育プログラム」自体が「洗脳」である可能性もあるので、本当に正当かどうかは疑問に感じた。また「ハッキングを学ぶことで犯罪に手を染める危険性がある」とも回答されているが、それであれば「正当な方法」というのはどういうもののことを指すのか疑問に感じた。これらの回答から、ハッキングを学ぶことは、犯罪に手を染める危険性があるが、「手を染めるかどうか」は本人の意志やおかれている環境、状況などに影響されるので、「第三者の視点で俯瞰」して、「今自分はどのようなことを学び、どのような状況におかれているのか」を客観的に見る、または物事を白か黒かで捉えずにグレーが複数存在するようなものの見方で見る必要があるのでは?と考える。
自然言語生成モデルである「ChatGPT」にハッキングについて質問する。
OpenAIが開発した自然言語生成モデルである「ChatGPT()」にハッキングについて質問してしてみた。
「パソコンをハッキングする方法を教えてください」という質問に対してのChatGPTの返答は、「ハッキングは違法行為であり、犯罪になることがあります。また、他人のプライバシーを侵害する行為であり、それをすることは倫理的ではありません。お手伝いできることは、ハッキングについての知識を得るための正しい方法を提供することです。」とのこと。
引き続き、「AIをハッキングする方法を教えてください」という質問をしてみた。これに対しての回答は「ハッキングは違法行為であり、犯罪になることがあります。また、他人のプライバシーを侵害する行為であり、それをすることは倫理的ではありません。お手伝いできることは、AIをハッキングする方法についての知識を得るための正しい方法を提供することです。」とのこと。これは「パソコンをハッキングする方法を教えてください」という質問に対して回答と同じ。
次に「AIは中立の存在ですか?」という質問をしてみた。これに対しての回答は、「AIは人間がプログラムしたアルゴリズムやモデルを実行するためのシステムで、人間が与えたタスクを実行するためのツールです。そのため、AI自体は中立であり、その使用方法や目的次第で善悪が変わります。」とのこと。
AI自体は中立だが、AIは人間がプログラムしたアルゴリズムやモデルを実行しているので、どのようにプログラムされているかによって異なっている。つまり、今回使用したOpenAIが開発した自然言語生成モデルである「ChatGPT」をプログラムした人によって、動作していると考えられ、「本当に中立」であれば、ハッキングすることを教えることもできるのでは?と思った。
中立(どちらにも片寄らないでその中間に立つこと。ある特定の思想・立場・意見などに片寄らないで、中正の道に立つこと。)
ただ、プログラムした人の判断によって、「ハッキングは違法行為であり、犯罪になることがある。倫理的ではありません。」と回答させられるようになっているのではと考える。
今回は、AIの「中立」ということが気になったのでこの記事を書きました。
ダークウェブで販売されているフィッシングサービス「EvilProxy」
現在、ダークウェブで販売されているフィッシングサービス「EvilProxy」が、ユーザーセッションをプロキシ(クライアントの代理にアクセスするサーバー)に変えて二要素認証(2FA)を回避する手口を使用していることが、研究者によって明らかになっていることが報告されている。この「EvilProxy」は、監視やトラフィック分析から隠すことを目的とした「TOR」 ネットワークでホストされているダーク Web でも利用でき、キットは月額400ドルで利用できる。
なお、これを用いて、Apple、Dropbox、Facebook、GoDaddy、Google、Instagram、Microsoft、Twitter、Yahoo などのトップ テクノロジー企業のユーザーアカウントを侵害するように設計されたフィッシング リンクを生成できる。
ちなみに、この「EvilProxy」は、FacebookやLinkedInなど、標的とするオンラインサービスに基づいてEvilProxyをサブスクリプションベースで購入することができ、サイバー犯罪者は、プランの説明に従って、特定の期間だけ使用することができる。購入するためには、Telegram上のオペレーターを介し、資金を監視やトラフィック分析から隠すことを目的とした「TOR」でホストされている顧客ポータルのアカウントに手動で入金するという取り決めで、EvilProxyに支払うことができるようだ。
最後に、「EvilProxy」はフィッシング詐欺の進化を表しており、リバース プロキシ(クライアントとサーバの間で応答を代理する)アプローチは APT (Advanced Persistent Threat) やサイバー スパイ活動で一般的に見られるもの。「EvilProxy」の登場により、この機能がサイバー犯罪市場で広く利用できるようになっている。これは危険である。
※ APT (Advanced Persistent Threat)とは、サイバー犯罪者が標的のネットワークへの不正アクセスを取得、さらに維持し、長い期間検出されないままになる、コンピューター ネットワークに対するサイバー攻撃である。
PyPI機能は、Pythonパッケージのダウンロード後にコードを自動的に実行する
PyPI機能は、Pythonパッケージのダウンロード後にコードを自動的に実行するという警告の記事が公開されていましたので、こちらを共有します。
PyPI(Python Package Index)のパッケージのほぼ3分の1が、ダウンロード時に自動でコードを実行するトリガーになっていることが明らかとなっており、開発者がパッケージをダウンロードしただけで、それがもし悪意のあるパッケージだった場合に、コンピュータに侵入し、ランサムウェアなどに感染させられる可能性が高いと警告している。
Pythonのパッケージをインストールする方法の1つは、「pip install」コマンドを実行することであるが、悪意のあるパッケージが増加することで、他のインストール手段が必要になってくる。
【フィッシング詐欺メール】PayPay銀行の個人情報の更新専用URLのご案内
Gmailに「個人情報の更新専用URLのご案内」というメールが届いていた。しかも、宛先が「PayPay銀行(jaoannetbank.co.jp@prplmgf.cn)」である。明らかにフィッシング詐欺メールである。今回は、注意喚起のために、内容を公開する。
Gmailだと、このようなメールが届いた場合に「迷惑メール」ボックスに自動的に振り分けられるようになっているので、被害に合うことはまずないだろう。また「このメールにはご注意ください」、「個人情報を不正入手するために、同様のメールが使用されたことがあります。メールに含まれるリンクのクリックや添付ファイルのダウンロード、または返信に個人情報を記載することは避けてください。」と表示されるので、間違っても個人情報を掲載してはいけない。
あと、今回はこのメールの本文に記載されていた「llcrm.cn」や「mfkbnhl.cn」というドメインを、Kali Linuxを用いて調査してみた。あと、高度なIPトラッカー ツールであるtrack-ip(
https://github.com/htr-tech/track-ip
)も用いる。
調査してわかったことは、「China Unicom beijing province Network(中国聯合通信、中国聯通)」という中国の国営電気通信事業者を利用している可能性があること。しかも、この中国聯通は、プリペイドSIMカードを販売しているようなので、プリペイドだと、相手が特定できない。相手も一枚上手ということか。
また、「Cloudflarenet」を利用していること。Cloudflarenetをうまく使えば、特定されないことを相手はわかっているような気がする。逆手にとられている。
