~XDRのテレメトリにある悪意ある活動のフィルタリングを容易にし、スパムフィルタの精度を向上し、環境寄生型バイナリ(LOLBin)の分析を簡素化するAIモデル~
Cybersecurity-as-a-Serviceを開発・提供するグローバルリーダー企業のソフォス(日本法人:ソフォス株式会社(東京都港区 代表取締役 中西 智行)は本日、サイバーセキュリティ業界でも注目が高まるChatGPTフレームワークの言語モデル「GPT-3」をサイバー攻撃の防止に活用する方法に関する新しい研究結果を発表しました。
最新のレポート「サイバー防衛へのAI言語処理の適用」では、Sophos X-OpsがGPT-3の大規模言語モデルを使用して開発したプロジェクトの詳細について説明しています。このレポートでは、セキュリティソフトウェアのデータセットにある悪意のある挙動の検索を効率化し、スパムフィルタの精度を向上し、環境寄生型バイナリ(LOLBin)攻撃の分析を迅速に行う方法について詳述しています。
ソフォスの主任脅威リサーチャーのSean Gallagherは、次のように述べています。「OpenAIが11月にChatGPTを発表してから、セキュリティコミュニティはこの新しいテクノロジーの潜在的なリスクを懸念してきました。例えば、野心的な攻撃者がこのAIをマルウェアの開発に悪用したり、サイバー犯罪者が信憑性のあるようなフィッシングメールを書くのを支援したりする可能性について懸念されてきました。しかし、以前からソフォスは、AIを防御側にとっての敵ではなく味方として捉え、ソフォスの基幹テクノロジーとして活用しており、GPT-3についても防御に活かすための取り組みを進めてきました。セキュリティコミュニティは、潜在的なリスクだけでなく、GPT-3がもたらす潜在的な機会にも注目する必要があります。」
SophosAIの主任データサイエンティストであるYounghoo LeeなどのSophos X-Opsのリサーチャーは、防御側の組織におけるサイバーセキュリティアシスタントとしてのGPT-3の可能性を見出すための3つのプロトタイプ・プロジェクトに取り組んできました。3つのプロジェクトでは「Few-shot Learning」と呼ばれる手法を用いており、少ないデータサンプルでAIモデルを効率的に学習させることで、分類されているデータを大量に収集する必要性を軽減しています。
この「Few-shot Learning」の手法でソフォスが最初にテストしたアプリケーションは、セキュリティソフトウェアのテレメトリに含まれる悪意のある挙動を選別する自然言語クエリインターフェイス(リンク先英語)です。特に、EDR製品に対して重点的にこのモデルをテストしています。このインターフェイスでは、基本的な英語のコマンドでテレメトリをフィルタリングできるため、防御側の組織がSQLやデータベースの基本構造を理解する必要はありません。
次に、ソフォスはChatGPTを使用した新しいスパムフィルタをテストしました。スパムフィルタに他の機械学習モデルを利用したケースと比較した場合、GPT-3を使用したフィルタが正確性に圧倒的に優れることを発見しました。最後に、ソフォスのリサーチャーは、GPT-3を利用してLOLBinsのコマンドラインをリバースエンジニアリングするためのプロセスを簡素化するプログラムを作成することができました。このようなリバースエンジニアリングは非常に困難ですが、LOLBinsの動作を理解し、将来的にこれらの攻撃を阻止するためには不可欠です。
先述のGallagherは、次のように述べています。「SOC(セキュリティオペレーションセンター)では、膨大なノイズが発生していることへの懸念が高まっています。多くの企業は、限られたリソースの中で、多くのアラートや検出された脅威を選別しなければなりません。GPT-3などのAIを活用することで、手間のかかるプロセスを簡略化でき、防衛側の組織は貴重な時間を取り戻すことができることが証明されました。すでに、上記のプロトタイプの一部はソフォス製品に反映されており、その結果はGitHubで公開されています。自社の解析環境でGPT-3を試してみたいという方はぜひ参照してください。将来的に、GPT-3はセキュリティ専門家のアシスタントのような役割を担うようになる可能性が高いとソフォスは考えています」
防御側の組織がGPT-3を活用する方法の詳細については、「GPTの活用方法:サイバー防衛へのAI言語処理の適用」をSophos.comでご覧ください。