要点まとめ
- Microsoftが、同社のクラウドAI製品の安全対策を回避するツールを開発・使用したグループを提訴
- 顧客の認証情報を不正に入手し、有害コンテンツ生成に悪用した疑い
- 「de3u」と呼ばれるツールを開発し、DALL-Eの不正利用を可能にした容疑
不正アクセスの詳細
Microsoftは2024年12月、バージニア東部地区連邦地方裁判所に訴状を提出。10名の匿名の被告が、Azure OpenAIサービスに不正アクセスするためのソフトウェアを開発し、顧客の認証情報を盗用したと主張している。訴状によると、被告らはコンピュータ不正利用防止法、デジタルミレニアム著作権法、連邦諜報法に違反した疑いがある。
発覚の経緯と手口
2024年7月、Microsoftは顧客のAzure OpenAIサービスの認証情報(APIキー)が、利用規約に違反するコンテンツの生成に使用されていることを発見。調査の結果、複数の顧客から組織的にAPIキーが盗取されていたことが判明した。
悪用ツール「de3u」の機能
被告らは「de3u」と呼ばれるクライアントサイドツールを開発。このツールにより、盗取したAPIキーを使用してDALL-Eで画像生成が可能になった。また、Microsoftのコンテンツフィルタリングを回避する機能も実装されていたとされる。GitHubで公開されていた同プロジェクトのコードは現在アクセス不能となっている。
Microsoftの対応
Microsoftが公開したブログ記事によると、裁判所の許可を得て、被告らの活動に関連するウェブサイトを差し押さえ。証拠収集と収益化の手口解明、さらなる技術インフラの disruption を進めている。また、Azure OpenAIサービスに追加の安全対策を実装し、同様の不正行為への対策を強化した。
引用元:TechCrunch
Microsoft accuses group of developing tool to abuse its AI service in new lawsuit
