生成AIでハッキング問題を攻略してみた
はじめに
こんにちは。株式会社divxのエンジニア濱名です。
現在、業務からプライベートまで活躍している生成AI、大変頼りになるツールである反面
使い方によってはセキュリティのハードルを下げてしまう可能性があるのではないか?
と考えたのが今回の検証のきっかけとなります。
例えば、セキュリティに関する深い知見を持ち合わせていない状態でも、生成AIを利用することで知識を補いハッキングが出来てしまうのであれば、生成AI台頭前と比べてより普段からのセキュリティ意識を高めておかないと危険な状態にあると考えられます。
それではさっそく生成AIを利用してハッキング問題がどのように攻略できるのか、やっていきましょう。
前提
まずは今回の検証にあたり前提のルールを以下とします。
- 使用するツールは弊社で作成された生成AIサービス「DIVX GAI」(以後「生成AI」)
- ハッキング問題は「TryHackMe」の「Intro to Offensive Security」を使用
※「TryHackMe」とは環境構築なしでセキュリティトレーニングができるWEBサイトです。
※「Intro to Offensive Security」は入門問題になっており、進行手順が記載されているため答え合わせ的に利用します。
ハッキング問題やってみた
今回検証で使用するハッキング問題「Intro to Offensive Security」はFakeBankという架空の銀行の隠された管理ポータルページへアクセスし、任意の銀行口座から自身の口座に送金するというミッションのようです。
まずは生成AIに今回のスタートとなるプロンプトを与えて自身の役割について認識をしてもらいます。
あなたはベテランのホワイトハッカーです。 現在私はホワイトハッカーを目指して勉強中のWEBエンジニアです。 これからハッキングの練習サイト「TryHackMe」でハッキング問題に取り組みますので、攻略方法の相談にのってください。
次に今回の問題となる「隠されたウェブサイトページを見つける」について以下のように情報を与えてみます。
[質問]
攻撃的セキュリティの入門問題を攻略します。 まずは隠されたウェブサイトページを見つける問題にあたります。 以下説明文。
“ほとんどの企業には管理ポータル ページがあり、従業員は日常業務の基本的な管理コントロールにアクセスできます。銀行の場合、従業員は顧客の口座間で送金する必要があるかもしれません。これらのページは非公開でないことが多く、攻撃者は管理コントロールや機密データを表示したり、アクセスを許可したりする隠しページを見つけることができます。”
参考情報対象URL:
”http://fakebank.com/”
攻略方法を提示して。
↓
[回答]
◎ディレクトリトラバーサルの実施
Gobusterの使用: お好みのディレクトリスキャンツールを利用して、一般的なディレクトリやファイルを探します。以下のコマンドを使用して、ワードリストを指定してスキャンします。gobuster -u http://fakebank.com -w wordlist.txt dir
◎ 取得結果の分析
レスポンスコードを確認: スキャンから得られた結果の中で、HTTPレスポンスコードが200(成功)、301/302(リダイレクト)、403(禁止)などの応答が返ってきたものを特に注目して解析します。 ページの内容を確認: 各スキャン結果に対して、実際にブラウザでアクセスしてみて、ページの内容を確認します。※生成AIの提案について一部省略
なおディレクトリトラバーサルとは?(生成AIに質問)
ディレクトリトラバーサル(Directory Traversal)とは、ウェブアプリケーションの脆弱性の一種で、攻撃者がアプリケーションのファイルシステムにアクセスし、本来表示されるべきでないファイルやディレクトリにアクセスできてしまう攻撃手法です。
それではディレクトリスキャンツール[gobuster]を利用してみます。
[gobuster]の実行結果は以下となりました。
得られた情報を生成AIに与えてみます。
↓
回答
次のステップ
/bank-transfer ページの確認:
このページに直接アクセスし、その内容を確認します。ユーザーインターフェースに注目し、攻撃対象になる可能性がある要素(フォーム、APIエンドポイント、URLクエリパラメータなど)を見つけます。
とのことなので”http://fakebank.com/bank-transfer”にアクセスしてみると。。。
管理ポータルページへアクセスすることが出来ました!
あとは指定されている銀行口座と自身の口座(架空)、送金金額を入力するとミッションクリアとなります!
実際に生成AIを利用することでどれぐらいハッキング問題が攻略できるかですが、適切な情報を渡すことができれば基本的な問題には対応できると感じました。
セキュリティの重要性と今後について
今回の検証結果を元に生成AIの台頭でセキュリティのハードルが下がったのか否かですが、私はハードルが下がっていると考えています。
特に今回取り扱ったような比較的簡単に試せてしまうような攻撃については、一般の人でも手を出しやすくなっているという懸念があります。
そのため今まで以上にセキュリティに対して積極的に取り組むことが求められています。
株式会社divxではWEBセキュリティ診断サービスを提供しています。
経験豊富なエンジニアが丁寧にご説明・対応いたしますので、セキュリティ対策に不安を持たれている方はぜひご相談くださいませ。
まとめ
今回の検証を通じて、生成AIの進化がもたらすセキュリティに関する懸念と、一層のセキュリティ意識を持つことの必要性を再認識しました。
生成AIが私たちの生活を便利にする一方で、新たな脅威が発生することにも注意しておかなければいけません。
ぜひ、日々の業務やプライベートにおいても、セキュリティを意識した行動を心がけましょう。