米国の人工知能(AI・Artificial Intelligence)企業アンソロピックの「クロードミトスプレビュー(ミトス)」に世界の金融圏が緊張している。ミトスがソフトウエアのセキュリティ脆弱性を見つけ、攻撃コードまで作成することが確認され、金融各社はAIによるハッキングの脅威に直面した。
ミトスはハッキングのために開発されたAIではない。既存モデルに比べてコーディングと推論、サイバーセキュリティ性能を引き上げる過程でこの能力が見いだされた。アンソロピックが公開したテスト結果によると、ミトスは27年間発見されなかったオペレーティングシステムの脆弱性を突き止め、自動化ツールが500万回検査しても16年間捕捉できなかったソフトウエア欠陥も検知した。
すでに米国と欧州の金融各社はミトスのような高性能AIの導入を進めている。韓国の金融当局と金融各社も対策の検討に苦心している。
2日、金融圏によると、金融委員会は先月15日、クォン・デヨン副委員長主宰で金融監督院、金融保安院、銀行・保険業界の最高情報セキュリティ責任者(CISO)らを招集し、緊急点検会議を開いた。同月13日には金融監督院も金融圏のセキュリティ実務者と会い、関連会議を行った。
ミトスなど高性能AIモデルがハッキングなど金融圏のセキュリティ侵害に悪用されうるとの懸念が高まると、金融当局と金融各社が対策作りに乗り出した。会議ではミトスなど高性能AIの影響と対応策などを議論した。
金融当局と金融各社は「AIのハッキング攻撃はAIで防がねばならない」という点で共通認識を形成したと伝えられている。金融当局は金融各社の高性能AI導入に向けた網分離(金融会社の内外通信網を分離)の規制など制度整備を検討している。金融各社のサイバーセキュリティ責任を強化する方策も用意する計画だ。
金融圏では、老朽化した既存のセキュリティシステムでは高性能AIの攻撃に対応できないとの懸念が出ている。金融各社のセキュリティは新しいシステムと数十年使用したインフラを併用する場合が多い。グローバルなセキュリティ専門家は、この形のセキュリティシステムを備えた企業ほど高性能AIの攻撃に脆弱だと警告する。
一部の大手銀行はセキュリティシステムのオペレーティングシステムと機器を全面的に入れ替える案まで検討している。ある大手銀行の関係者は「AIの攻撃にパッチ(セキュリティ欠点を補完するソフトウエア)で対応するのには限界がある。社内ではシステムを全面更新すべきではないかという議論もある」と語った。
大手金融各社はサービスを供給する外部業者へのAI攻撃が本社システムまで脅かすシナリオも精査している。金融圏の関係者は「クラウドやAIサービスを供給する企業でAIハッキングが発生した場合、リスクが転移する可能性もある」と述べた。
金融圏では、ミトスに関する脆弱性情報が大々的に公開されると見込まれる7月以前までに対応策を仕上げるべきだとの指摘が出ている。
米国と欧州の金融各社は「ミトスショック」に迅速に動いている。現在このモデルは、米国のJPモルガン・チェース、バンク・オブ・アメリカ(BoA)など一部の大手金融各社を含む約40の重要インフラ関連機関で試験中とされる。
欧州中央銀行(ECB)も最近、欧州域内の銀行を対象にミトス関連のリスクを点検した。欧州と英国の銀行はアンソロピックにミトスへのアクセス権限を要請したと伝えられている。イ・サングン高麗大AIセキュリティ研究所長は「ミトスは未来の脅威ではなく当面の課題だ」とし、「すでに数千件のセキュリティ攻撃が確認された状況で、(7月に予定された)公開時点には韓国も対応を終えなければならない」と述べた。