セキュリティの
学び場

今回の解説ニュース

自然言語をプログラミング言語に翻訳するCodexのデータ収集におけるセキュリティリスクについて、セキュリティベンダーから発表されています。Codexの概要と、今回発表されているCodexのセキュリティリスクについて説明します。

今回の発表では、Codexの現時点における機能が、攻撃者の活動に与える影響、開発者や一般ユーザが実施できるセキュリティ対策、Codexが今後どのように進化していくかの3つのテーマから取り上げ、サイバー攻撃の主軸である「偵察」「ソーシャルエンジニアリング」「脆弱性の利用」という3つの観点からCodexの持つ機能の可能性を分析しています。

セキュリティベンダーは、内部のナレッジベースに保存されている機密情報をCodexのコード生成機能を経由して抽出できるかどうか調査を実施し、Codexに対し意図的に公開リポジトリ内の機密情報にアクセスさせることで、Codexが生成結果に機密情報付きのURLを含めて出力させることに成功しています。Codexが意図せず露出させる機密情報はURLだけでなく、コードの特定部分を実装した担当者情報や従業員情報、暗号資産ウォレット番号さえも、露出させる可能性があるということです。

将来プログラマーにとって代わる存在に？「Codex」とは何か

自然言語をプログラミング言語に翻訳するCodexの概要について、できるだけわかりやすく説明します。

例えば、Aさんがホームページを作りたくなったとします。ホームページを作成するためには、HTMLやJavaScript、動的なページを作成するためにはPHPやPythonなどのプログラミング言語を書ける必要があります。フレームワークなど、様々な開発環境が整備されているとは言え、複雑な処理を行うソフトウェア開発にはプログラミング言語に対する十分な理解が求められます。

この、開発者に求められるプログラミング言語の理解や作業を支援するのがCodexです。具体的には、Aさんが「上側にタイトルがあって、左側にメニューがあって、背景が青色のページを作る」と英語で入力するだけで、Codexはプログラミング言語で書かれたコードを出力してくれます。Aさんがプログラミング言語を書けなくても、ホームページを作成することができるわけです。

Codexは元々、コードの続きを補完するソフトウェアの強化版として開発されましたが、ゼロからコードを出力することができるため、高度なシステムであると言われています。

便利さと怖さは紙一重、Codexがもたらすセキュリティリスク

今回の発表では「偵察」「ソーシャルエンジニアリング」「脆弱性の利用」という3観点でセキュリティリスクが指摘されています。それぞれの観点から、できるだけわかりやすく説明します。

まず、大前提として、Codexに取り込まれた膨大な公開データには、様々な機密情報が含まれている可能性があることを理解しておく必要があります。実際に今回行った調査では、Codexに対して意図的に公開リポジトリ内の機密情報にアクセスさせることからスタートしています。

具体的な方法として「特定の機密情報を取得し、その結果を含めた文字列によってコードを補完」するようCodexに指示した場合、機密情報に繋がるURLが補完後のコード内に含まれていたということです。つまり、Codexに取り込まれたデータに機密情報が含まれており、それらの機密情報をCodexに指示することで引き出せたことになります。もちろん、こうした機密情報は、もともと公開されている情報でもありますが、Codexが悪用された場合に、セキュリティリスクが顕在化する原因になりかねないことになります。

今回は、Codexが及ぼすセキュリティリスクについてお届けしました。