Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

「生成AI」の出力コードに過信は禁物 - 安全性の確認を

機械学習のもとさまざまなデータを出力できる「生成AI」。プログラムコードなども生成でき、ソフトウェア開発にプログラマーが不要になるとの声も一部聞かれる。しかしながら、出力されたコードが脆弱性に配慮しているとは限らず、過信すると思わぬ事故につながるおそれもあるとして専門家が警鐘を鳴らしている。

20231218_eg_001.jpg
EGセキュアソリューションズの徳丸氏

EGセキュアソリューションズで取締役CTOを務める徳丸浩氏は、記者説明会で2023年を振り返り、気になったインシデントのひとつとして、コンビニエンスストアの複合機による自治体の証明書発行サービスにおいて別人の証明書が交付された問題を取り上げた。

同問題では、システムにおいて排他処理などが正しく行われておらず、タイミングが近接した処理で競合状態(レースコンディション)が発生。出力するファイルが無関係のデータによって上書きされてしまい、情報流出につながった。

同氏は、基本的なトランザクション管理や排他制御が行われていないシステムは多く、政府や地方自治体のシステムでもよく見られる脆弱性だと指摘。類似例として、コロナ禍にあった2021年に水際対策のため導入された入国申請システムでも同様のインシデントが発生したことを挙げた。

政府や自治体に関しては事故が積極的に公表されているが、民間でも同様の問題が潜在している可能性もあると分析。

「レースコンディション」は一般的な脆弱性検査において比較的優先順位が低く扱われがちだが、デジタル庁の脆弱性診断導入ガイドラインにも対策を講じるよう記されるなど、デジタルトランスフォーメーション(DX)を推進する上で注意が必要な脆弱性であると述べた。

20231218_eg_002.jpg
タイミングが重なり、同じファイル名のファイルによって意図せずデータが上書きされてしまう「レースコンディション」の例(画像:EGセキュアソリューションズ)

(Security NEXT - 2023/12/18 ) このエントリーをはてなブックマークに追加

PR

関連記事

関係者リストを誤送信、入力用様式と同一ファイル名で取り違え - 堺市
「WatchGuard Firebox」のVPN機能に深刻なRCE脆弱性
「PHP」にセキュリティ更新 - 複数の脆弱性を修正
防災メールサービスが迷惑メール送信に悪用 - 和歌山県
会合で患者の個人情報を示唆、職員を処分 - 佐賀県医療センター好生館
グループ会社に不正アクセス、業務関連情報が流出か - ABCテレビ
セイコーSOL製IoT向け一部ルータに脆弱性 - 修正予定なし
コンテナ管理ツール「Rancher」に脆弱性 - アップデートを公開
「NVIDIA Container Toolkit」に権限昇格の脆弱性 - 「GPU Operator」も影響
介護サービスの評価システムにサイバー攻撃 - システムを一時停止