ビジネスコンサルティングの現場から

各種ビジネス・コンサルティングに携わる担当者が、日頃、「考えている事」や「気が付いた事」を不定期に発信します。

トップ > 経営コラム > ChatGPTの利用履歴が流出!危惧されていた機密情報流出が現実に!

ChatGPTの利用履歴が流出!危惧されていた機密情報流出が現実に!

経営コラム

ChatGPT Chat GPT 利用履歴 情報漏洩 情報流出

以前より危惧されていた事ではあるのですが、

ChatGPTの利用履歴が流出する事で、機密情報(社外秘の情報など)が外部に漏洩する

という事態が現実のものになろうとしています。


情報漏洩の仕組みについて、もう少し詳しく書くと、

ChatGPTのアカウントがハッキングされる

→ChatGPTの利用履歴が第三者に見られてしまう

→ChatGPTの利用履歴に含まれている機密情報(社外秘の情報や個人情報など)が第三者に見られてしまう

→機密情報が漏洩する(場合によっては、闇サイトなどで情報が売買される)

という仕組みでの情報漏洩となります。


このような機密情報の流出経路は、「生成AIが入力された機密情報を学習し、第三者に、その学習内容を活用した回答を返してしまう」といった情報漏洩のパターンと共に、以前から指摘されていた事ではあります。

この為、決して驚くべき事ではないのですが、未だChatGPTを始めとする生成AI利用のリスクについて十分な理解をされていない方もいらっしゃると思いますので、ここで取り上げさせて頂きます。


ChatGPTのアカウントがハッキングされてしまうルートにはいくつかのものがありますが、その代表的なものは、「ChatGPTを利用しているデバイスが攻撃を受け、その結果、ChatGPTのアカウント情報(利用に必要な情報)が盗まれてしまう」というルートです。

シンガポールに本部を置くセキュリティ会社であるGroup-IB社によると、ダークウェブでは、ChatGPTのアカウント情報が含まれた情報(マルウェアのログ)が取引されており、その件数は、Group-IB社が行った調査分だけでも、2023年5月の時点で26,802件にものぼったとの事です(Group-IB社では、インフォスティーラーと呼ばれるマルウェア(info-stealing malware)について特に調査を行っています)。

また、過去一年間において、これらの情報が特に集中して売買されていたのは、アジア太平洋地域だったとの事です。

https://www.group-ib.com/media-center/press-releases/stealers-chatgpt-credentials/


ChatGPTは、設定を変更しない限り、利用者とのやりとり(応答の履歴)を保存しています。

この為、ChatGPTのアカウントがハッキングされてしまうと、過去のやり取りが第三者に見られてしまう危険性があるのです。

アカウントがハッキングされた場合に情報が漏洩してしまうのは、他のツールやシステムでも同じなのですが、ChatGPTの利用においては、「通常なら簡単には外部に送信しないような情報でも、利用者がChatGPT側に安易に送信してしまう」という特徴があります。

利用者はChatGPTを対話形式で利用し、そして、業務に直結した結果を得ようする為、より具体的な情報をChatGPT側に送ってしまいがちなのです。

また、必要とするアウトプットを得る為のやり取りが赤裸々になる事から、利用履歴を見ると、「その企業が、どのような検討を行っているのか」といった事が推測しやすい、といった特徴もあります。

経営課題の検討においてChatGPTを活用している場合や、重要な会議の準備をChatGPTを使って行っている場合には、その会社の役員会や重要な会議の中身が盗み見えるも同然のケースすらある事でしょう。

もちろん、個人情報が入力されていた場合には、個人情報までもが流出する危険性があります。


このような情報流出を避ける為の対策としては、

・ChatGPTのアカウントのっとりを防ぐセキュリティ対策(パスワードの定期的な変更、2段階認証の導入などが有効です)

・ChatGPTを利用するOSやブラウザに関するセキュリティ対策(更新を欠かさないなど、一般的なセキュリティ対応が有効です)

が基本となります。


ただし、利用者側に責任がない脆弱性が理由でアカウントがハッキングされたり、そもそも、ChatGPT側のシステムの脆弱性によって情報が漏洩するリスクも考えられます。

この為、

・会社ごとに、ChatGPT利用に関するルールを策定する(ChatGPT側に送信して良い情報を制限する)

といった対策も必要になる事でしょう。

また、現時点では、一部の企業を除いて現実的ではないでしょうが、将来に向けては、

・社内で管理が完結する生成AIの利用を進める

といった方向性も対策となりうるでしょう。

もちろん、利便性は下がりますが、

・ChatGPTの設定を変更して、過去のやり取りを保存しないようにする

・こまめにChatGPTの履歴を削除する

といった対策も有効とは思われます(ただし、利用者側で、ChatGPTのシステムから履歴が完全に削除されたかどうかを確認する事は困難です)。

また、利用者のデバイス側に保存されている利用履歴(応答の記録)に関する情報が狙われるケースにおいては、ChatGPT側で情報を削除したとしても、利用者のデバイス側から情報が流出する可能性がある事にも注意が必要です。

以上、現在確認されているChatGPTのアカウントのハッキングに伴う利用履歴からの情報漏洩と、その対策についてでした。