Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「生成AI」の出力コードに過信は禁物 - 安全性の確認を

機械学習のもとさまざまなデータを出力できる「生成AI」。プログラムコードなども生成でき、ソフトウェア開発にプログラマーが不要になるとの声も一部聞かれる。しかしながら、出力されたコードが脆弱性に配慮しているとは限らず、過信すると思わぬ事故につながるおそれもあるとして専門家が警鐘を鳴らしている。

20231218_eg_001.jpg
EGセキュアソリューションズの徳丸氏

EGセキュアソリューションズで取締役CTOを務める徳丸浩氏は、記者説明会で2023年を振り返り、気になったインシデントのひとつとして、コンビニエンスストアの複合機による自治体の証明書発行サービスにおいて別人の証明書が交付された問題を取り上げた。

同問題では、システムにおいて排他処理などが正しく行われておらず、タイミングが近接した処理で競合状態(レースコンディション)が発生。出力するファイルが無関係のデータによって上書きされてしまい、情報流出につながった。

同氏は、基本的なトランザクション管理や排他制御が行われていないシステムは多く、政府や地方自治体のシステムでもよく見られる脆弱性だと指摘。類似例として、コロナ禍にあった2021年に水際対策のため導入された入国申請システムでも同様のインシデントが発生したことを挙げた。

政府や自治体に関しては事故が積極的に公表されているが、民間でも同様の問題が潜在している可能性もあると分析。

「レースコンディション」は一般的な脆弱性検査において比較的優先順位が低く扱われがちだが、デジタル庁の脆弱性診断導入ガイドラインにも対策を講じるよう記されるなど、デジタルトランスフォーメーション(DX)を推進する上で注意が必要な脆弱性であると述べた。

20231218_eg_002.jpg
タイミングが重なり、同じファイル名のファイルによって意図せずデータが上書きされてしまう「レースコンディション」の例(画像:EGセキュアソリューションズ)

(Security NEXT - 2023/12/18 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Microsoft Streaming Service」の脆弱性に対する攻撃に注意
小学校サイト掲載の学級通信に要配慮個人情報 - 豊田市
「Security Days Spring」、3月に東名阪で順次開催
顧客向け案内メールを「CC」送信 - トヨタツーリスト
県立高校で生徒の個人情報含む出席簿を紛失 - 埼玉県
個人情報含む労働力調査関係書類を紛失 - 群馬県
個情委、四谷大塚に行政指導 - 子どもを守るため特に注意必要
税関の入国者申告データが消失 - アプリ改修作業のエラー対応ミスで
公立保育園のUSBメモリ、車上荒らしで盗難 - 福井市
Ivanti、「外部整合性チェックツールICT」の機能強化版を公開