「生成AI」の出力コードに過信は禁物 - 安全性の確認を
機械学習のもとさまざまなデータを出力できる「生成AI」。プログラムコードなども生成でき、ソフトウェア開発にプログラマーが不要になるとの声も一部聞かれる。しかしながら、出力されたコードが脆弱性に配慮しているとは限らず、過信すると思わぬ事故につながるおそれもあるとして専門家が警鐘を鳴らしている。
EGセキュアソリューションズの徳丸氏
EGセキュアソリューションズで取締役CTOを務める徳丸浩氏は、記者説明会で2023年を振り返り、気になったインシデントのひとつとして、コンビニエンスストアの複合機による自治体の証明書発行サービスにおいて別人の証明書が交付された問題を取り上げた。
同問題では、システムにおいて排他処理などが正しく行われておらず、タイミングが近接した処理で競合状態(レースコンディション)が発生。出力するファイルが無関係のデータによって上書きされてしまい、情報流出につながった。
同氏は、基本的なトランザクション管理や排他制御が行われていないシステムは多く、政府や地方自治体のシステムでもよく見られる脆弱性だと指摘。類似例として、コロナ禍にあった2021年に水際対策のため導入された入国申請システムでも同様のインシデントが発生したことを挙げた。
政府や自治体に関しては事故が積極的に公表されているが、民間でも同様の問題が潜在している可能性もあると分析。
「レースコンディション」は一般的な脆弱性検査において比較的優先順位が低く扱われがちだが、デジタル庁の脆弱性診断導入ガイドラインにも対策を講じるよう記されるなど、デジタルトランスフォーメーション(DX)を推進する上で注意が必要な脆弱性であると述べた。
タイミングが重なり、同じファイル名のファイルによって意図せずデータが上書きされてしまう「レースコンディション」の例(画像:EGセキュアソリューションズ)
(Security NEXT - 2023/12/18 )
ツイート
関連リンク
PR
関連記事
ランサム被害、委託先の設定ミスが侵入経路に - 不動産仲介会社
農業高校で生徒の個人情報含む教務手帳が所在不明 - 東京都
案内メールで誤送信、顧客のメアド流出 - ペットフード会社
ビデオ会議の「Zoom」、9月の定例アドバイザリは1件のみ
「WordPress」向けLMS構築プラグインに複数のSQLi脆弱性
顧客情報を用いた脅迫容疑で従業員が逮捕 - 東北電力子会社
GitLab、クリティカルパッチを公開 - 脆弱性17件に対応
専門学校生対象のセキュリティコンテスト - 課題は「ASMツール」
ビデオ会議の「Zoom」にアドバイザリ - 誤公開の可能性も
「Cisco IOS XR」など複数Cisco製品に脆弱性