こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
トレンドマイクロ株式会社は6月16日、Codexのデータ収集におけるセキュリティリスクについて、同社ブログで発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】自然言語をプログラミング言語に翻訳するCodexのデータ収集におけるセキュリティリスクについて、セキュリティベンダーから発表されています。Codexの概要と、今回発表されているCodexのセキュリティリスクについて説明します。
今回の発表では、Codexの現時点における機能が、攻撃者の活動に与える影響、開発者や一般ユーザが実施できるセキュリティ対策、Codexが今後どのように進化していくかの3つのテーマから取り上げ、サイバー攻撃の主軸である「偵察」「ソーシャルエンジニアリング」「脆弱性の利用」という3つの観点からCodexの持つ機能の可能性を分析しています。
セキュリティベンダーは、内部のナレッジベースに保存されている機密情報をCodexのコード生成機能を経由して抽出できるかどうか調査を実施し、Codexに対し意図的に公開リポジトリ内の機密情報にアクセスさせることで、Codexが生成結果に機密情報付きのURLを含めて出力させることに成功しています。Codexが意図せず露出させる機密情報はURLだけでなく、コードの特定部分を実装した担当者情報や従業員情報、暗号資産ウォレット番号さえも、露出させる可能性があるということです。
自然言語をプログラミング言語に翻訳するCodexの概要について、できるだけわかりやすく説明します。
例えば、Aさんがホームページを作りたくなったとします。ホームページを作成するためには、HTMLやJavaScript、動的なページを作成するためにはPHPやPythonなどのプログラミング言語を書ける必要があります。フレームワークなど、様々な開発環境が整備されているとは言え、複雑な処理を行うソフトウェア開発にはプログラミング言語に対する十分な理解が求められます。
この、開発者に求められるプログラミング言語の理解や作業を支援するのがCodexです。具体的には、Aさんが「上側にタイトルがあって、左側にメニューがあって、背景が青色のページを作る」と英語で入力するだけで、Codexはプログラミング言語で書かれたコードを出力してくれます。Aさんがプログラミング言語を書けなくても、ホームページを作成することができるわけです。
Codexは元々、コードの続きを補完するソフトウェアの強化版として開発されましたが、ゼロからコードを出力することができるため、高度なシステムであると言われています。
今回の発表では「偵察」「ソーシャルエンジニアリング」「脆弱性の利用」という3観点でセキュリティリスクが指摘されています。それぞれの観点から、できるだけわかりやすく説明します。
まず、大前提として、Codexに取り込まれた膨大な公開データには、様々な機密情報が含まれている可能性があることを理解しておく必要があります。実際に今回行った調査では、Codexに対して意図的に公開リポジトリ内の機密情報にアクセスさせることからスタートしています。
具体的な方法として「特定の機密情報を取得し、その結果を含めた文字列によってコードを補完」するようCodexに指示した場合、機密情報に繋がるURLが補完後のコード内に含まれていたということです。つまり、Codexに取り込まれたデータに機密情報が含まれており、それらの機密情報をCodexに指示することで引き出せたことになります。もちろん、こうした機密情報は、もともと公開されている情報でもありますが、Codexが悪用された場合に、セキュリティリスクが顕在化する原因になりかねないことになります。
今回は、Codexが及ぼすセキュリティリスクについてお届けしました。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
