マイクロソフトは、生成AIツールの安全ガイドラインを回避できるマイクロソフトアカウントを乗っ取って販売するという国際的な計画の主犯として、イラン、中国、ベトナム、英国の個人を特定した。
12月、マイクロソフトはバージニア州の裁判所に請願書を提出、匿名の10人の個人からインフラストラクチャとソフトウェアを差し押さえた。同社によると、この個人はハッキング・アズ・ア・サービス事業を運営し、盗んだマイクロソフトAPIキーを使用してAzure OpenAIのアカウントへのアクセスを海外の当事者に販売していたという。これらのアカウントはその後、マイクロソフトとOpenAIの安全ガイドラインに違反する数千枚の画��像を含む「有害コンテンツ」を生成するために使用された。
マイクロソフトは以前、10人の個人の名前や身元、居住地は知らないと述べ、特定のウェブサイトや使用ツールでのみ特定し、少なくとも3人は米国外に住むサービス提供者であるようだと主張していた。
同社は木曜日に公表した修正された訴状で、イラン出身のアリアン・ヤデガルニア(別名「Fiz」)、香港出身のリッキー・ユエン(別名「cg-dot」)、ベトナム出身のファット・フォン・タン(別名「Asakuri」)、イギリス出身のアラン・クリシアク(別名「Drago」)の4人を、マイクロソフトがストーム2139として追跡している「世界的なサイバー犯罪ネットワークの中心にいる」主要人物として特定した。
ストーム2319組織図(出典:マイクロソフト)
マイクロソフトはまた、イリノイ州とフロリダ州の1人のアクターがこの計画に関与していると特定したが、「潜在的な犯罪捜査の妨げにならないように」名前を明かさなかった。同社は米国と外国の法執行機関の代表者への刑事告発を準備中だと述べた。
同社は、生成された画像が安全ガイドラインにどのように違反したかは明らかにしなかったが、マイクロソフトのデジタル犯罪部門のスティーブン・マサダ副法務顧問はブログ投稿で、少なくとも一部は有名人や公人の偽の画像を作成しようとしたものだと示唆した。
「私たちは、身元を秘密にしておくために特定の有名人の名前を挙げていません。また、有害なコンテンツのさらなる流通を防ぐため、合成画像やプロンプトを訴訟から除外しました」とマサダは木曜日のブログに記した。
最初の訴訟はグループ内でパニックを引き起こしたようで、マイクロソフトは訴訟で名前が挙がった他の人々の身元についてメンバーが推測したチャットフォーラムのスクリーンショットを共有した。グループはまた、訴訟を担当するマイクロソフトの弁護士の個人情報と写真も投稿した。
名前が挙がった人々の中には、グループの他のメンバーや他の関係者に責任を負わせようとマイクロソフトに連絡した者もいるようだ。
Microsoft の弁護士が受け取ったあるメッセージには、Krysiak が運営しているとされる Discord サーバーが、Azure のアクセスを 100 ドル以上で販売すると申し出ており、そのほかに、同社のソフトウェアの GitHub ページへのリンクや他のリソースへのリンクも含まれていた。このユーザーは Microsoft に調査を懇願し、さらに情報を提供すると申し出た。
「あなたが訴えようとしている老人たちは何も売っていません。この人たちは売っています」とこの人物は書き、後に「あなたが探している他のグループとは違って、これが本物の企業です」と付け加えた。
Microsoft の弁護士に送られた別のメールには、「drago という男を探す」ようにアドバイスがあった。
「彼こそあなたが探している男です。Azure を使用して販売しています」と、whistling@dmc[]chat というメール アカウントは書いた。
Azure ハッキング作戦の責任を他の当事者に押し付けようとマイクロソフトの弁護士に送られたメッセージのスクリーンショット (出典: マイクロソフト)
同社の当初の訴状によると、犯人らは「公開情報源から収集した公開された顧客認証情報を悪用し、特定の生成 AI サービスのアカウントに違法にアクセスした」とのことです。
訴状では、「その後、これらのサービスの機能を変更し、他の悪意のある人物にアクセス権を転売し、著名人の同意のない親密な画像やその他の性的に露骨なコンテンツを含む有害で違法なコンテンツを生成する方法について詳細な指示を与えた」と主張されています。
Microsoft や OpenAI などの企業が生成 AI ツールを開発、販売するなか、政府や市民社会団体は、モデルを悪用または悪用して ディープフェイクを作成、偽情報を拡散したり、爆弾やマルウェアの作り方など潜在的に有害な情報を開示したりすることを困難にする技術的保護策を開発するよう、これらの企業に 圧力 をかけています。
一部の米国の市民社会団体は、AI企業が安全対策を怠り、自社のツールが選挙に影響を与えるために使用されないようにするための公約について透明性を欠いているとして批判しているが、米国の情報当局は昨年、米国の選挙に干渉しようとする外国勢力が、偽情報キャンペーンの原動力となる高品質の商用生成AIツールへのアクセスを得るのに困難を抱えていると示唆した。