チャットボットは長い間存在しており、世界のチャットボット市場規模 (および予想される成長) に基づいて、長期間存続し、重要性が高まると考えられます。これまで、顧客の期待に応えたり、ポジティブな体験を提供したりすることはほとんどありませんでした。しかし、ここ数年の会話型 AI の進歩により、その使用方法は変化しました。チャットボットは幅広い用途を提供するため、場合によっては個人情報の収集と保護も担うことになります。したがって、これらはハッカーや悪意のある攻撃にとっても大きな魅力となります。ヨーロッパでの GDPR の導入後、チャットボットのセキュリティを確保する責任がさらに顕著になりました。統計によれば、このテクノロジーは私たちの生活を決定する要素となるため、これらのチャットボットを安心して使用できるように、セキュリティ テストも私たちの日常業務の一部に組み込む必要があります。
言葉 リスク, 脅威 & 脆弱性 コンピュータ セキュリティについて読むときに、これらはしばしば混同されたり、同じ意味で使用されたりするため、最初に用語を明確にしましょう。
- 脆弱性 ソフトウェア (またはハードウェア、プロセス、その他関連するもの) の弱点を指します。言い換えれば、それは 方法 ハッカーがあなたのシステムに侵入し、悪用する可能性があります。
- A 脅威 脆弱性を悪用し、資産の損失、損傷、または破壊を引き起こす可能性があります。 脅威は脆弱性を悪用します
- リスク 資産の紛失、損傷、または破壊の可能性を指します。 脅威 + 脆弱性 = リスク!
有名な OWASPトップ10 は、Web アプリケーションの主なセキュリティ リスクのリストです。世に出ているほとんどのチャットボットはパブリック Web フロントエンド経由で利用できるため、OWASP のセキュリティ リスクはすべてそれらのチャットボットにも適用されます。これらのリスクのうち、防御することが特に重要な 2 つがあります。他のリスクとは対照的に、これら 2 つはほぼ常に深刻な脅威となるからです。 XSS (クロスサイト スクリプティング) と SQL インジェクション.
さらに、人工知能を利用したチャットボットの場合、次のようなリスクが高まります。 サービス拒否 大量のコンピューティング リソースが関与するため、攻撃が起こりにくくなります。
2. 自動チャット vs ライブチャット: カスタマーサービスの未来はどうなる?
チャットボット ユーザー インターフェイスの一般的な実装:
- 入力ボックス付きのチャットウィンドウがあります
- ユーザーが入力ボックスに入力したものはすべて、チャットウィンドウにミラーリングされます
- チャットボットの応答がチャットウィンドウに表示されます
XSS 脆弱性は 2 番目のステップにあります。悪意のある Javascript コードを含むテキストを入力すると、Web ブラウザが挿入されたコードを実行しているときに XSS 攻撃が実行されます。
alert(document.cookie)
考えられる攻撃ベクトル
XSSの脆弱性を悪用するために、攻撃者は被害者をだまして悪意のある入力テキストを送信する必要があります。
- 攻撃者は被害者をだまして、ハイパーリンクに悪意のあるコードを含むチャットボットを指すハイパーリンクをクリックさせます。
- 悪意のあるコードが Web サイトに挿入され、被害者が気付かないうちに被害者の Cookie を読み取って攻撃者に送信します。
- 攻撃者はこれらのCookieを使用して、会社のWebサイト上の被害者のアカウントにアクセスできます。
防衛
この脆弱性は、実際にはユーザー入力を検証してサニタイズすることで簡単に防御できますが、それでも何度もこの脆弱性が発生しているのが確認されています。
タスク指向のチャットボット バックエンドの一般的な実装:
- ユーザーはチャットボットに何らかの情報項目を伝えます
- チャットボットバックエンドは、データソースにこの情報アイテムを照会します
- 結果に基づいて、自然言語の応答が生成され、ユーザーに提示されます
SQL インジェクションを使用すると、攻撃者はチャットボット バックエンドをだまして、悪意のあるコンテンツを情報アイテムの一部とみなします。
私の注文番号は「1234;注文から削除」
可能性のあるチャットボット攻撃ベクトル
攻撃者がチャットボットに個人的にアクセスできる場合、攻撃者は SQL インジェクションを直接悪用して (上記の例を参照)、あらゆる種類の SQL (または非 SQL) クエリを実行できます。
防衛
開発者は通常、トークナイザーとエンティティ抽出機能を信頼してインジェクション攻撃を防御します。さらに、ユーザー入力の単純な正規表現チェックにより、ほとんどの場合、この脆弱性は解決されます。
人工知能は、特に最先端の自然言語理解 (NLU) アルゴリズムのような深層学習が関与する場合、高いコンピューティング能力を必要とします。サービス拒否 (DoS) 攻撃は以下に焦点を当てています。 リソースを利用できなくする チャットボットは設計された目的に沿って設計されており、高度に最適化されたデータベース システムに基づく通常のバックエンドよりもチャットボットがサービス拒否 (DoS) 攻撃に対して脆弱であることは想像に難くありません。チャットボットが非常に多くのリクエストを受信した場合、正規のユーザーはチャットボットを利用できなくなる可能性があります。これらの攻撃は、大幅な応答遅延、過剰な損失、サービスの中断を引き起こし、可用性に直接的な影響を及ぼします。
可能性のあるチャットボット攻撃ベクトル
一般的な DoS 攻撃では、大量の大きなリクエストをチャットボットに送信して、利用可能なリソースを意図的に使い果たします。ということが起こります。 コンピューティングリソース 正規ユーザーはもう利用できません。
ただし、考慮すべき追加のリスクがあります。チャットボット開発者が使用するのは非常に一般的です。 クラウドベースのサービス IBM Watson や Google Dialogflow など。選択したプランに応じて、使用制限やクォータが適用されます。 疲れ果てた 非常に迅速に — たとえば、Google Dialogflow Essential 無料プランの制限 180 分あたり XNUMX リクエストにアクセスすると、他のリクエストはすべて拒否されます。制限のない使用量ベースのプランの場合、リクエスト数の増加により、DoS 攻撃により簡単に莫大な費用がかかる可能性があります。
防衛
サービス拒否攻撃を防御するための確立された方法は、チャットボットにも適用されます。
上記の防御戦略とは別に、システム侵害のリスクを軽減するための一般的なルールがあります。
当然のことながら、脆弱性を防ぐ最善の方法は次のとおりです。 それらを起こさせないでください そもそも。ソフトウェア開発者は、日常の開発ルーチンの一部としてシステム セキュリティを考慮するための特別なトレーニングを受ける必要があります。開発チームの考え方とプロセスを確立することが最初で最も重要なステップです。
セキュリティ テストは、継続的なテスト パイプラインの一部である必要があります。リリース タイムラインの早い段階でセキュリティの脆弱性が特定され、修正されると、コストが安くなります。
OWASP Top 10 に基づく基本的なテストは、エンド-2-エンド レベルだけでなく API レベルでも実行する必要があります。通常、SQL インジェクションに対する防御は API レベル (速度の理由) で最もよくテストされますが、XSS に対する防御はエンドツーエンド レベル (JavaScript の実行のため) で最もよくテストされます。
などの専用ツール ボティウム チャットボットの継続的なセキュリティ テスト パイプラインのセットアップに役立ちます。
チャットボットは、他の顧客向け Web アプリケーションと同じ種類の脆弱性、脅威、リスクを引き起こします。チャットボットの性質上、一部の脆弱性は他の脆弱性よりも発生する可能性が高くなりますが、確立された防御戦略はチャットボットに対して機能します。
- &
- 2022
- 私たちについて
- アクセス
- 添加
- NEW
- AI
- アルゴリズム
- すべて
- API
- 申し込み
- 周りに
- 人工の
- 人工知能
- 資産
- 資産
- アシスタント
- 攻撃
- 自動化
- 賃貸条件の詳細・契約費用のお見積り等について
- 利用できます
- BEST
- ボックス
- 違反
- ブラウザ
- これ
- 例
- 原因となる
- チャットボット
- チャットボット
- 小切手
- コード
- 収集
- コマンドと
- 会社
- コンピュータセキュリティ
- コンピューティング
- コンピューティングパワー
- 信頼
- コンテンツ
- 連続的な
- クッキー
- クッキー
- 可能性
- コロナ
- 顧客サービス
- DA
- データ
- データベース
- 深い学習
- 防衛
- 遅延
- サービス拒否
- 破壊された
- 決定
- 開発者
- 開発
- ダイアログフロー
- DX
- 簡単に
- 効果
- 入ります
- 特に
- 設立
- EU
- ヨーロッパ
- EV
- 例
- 実行
- 体験
- 悪用する
- EY
- 向い
- 名
- 焦点を当て
- 未来
- GDPR
- グローバル
- でログイン
- 素晴らしい
- 成長性
- ハッカー
- Hardware
- 助けます
- ハイ
- 認定条件
- HP
- hr
- HTTPS
- ia
- IBM
- IBM Watson
- 影響
- 重要
- 含めて
- 増加した
- 情報
- インテリジェンス
- インテリジェント-
- 関係する
- IT
- JavaScriptを
- Kx
- 言語
- 大
- 学習
- レベル
- リスト
- 長い
- LP
- 市場
- 医療の
- ミディアム
- 他には?
- 最も
- 自然言語
- 自然言語理解
- 自然
- ヌル
- 提供
- 開いた
- 注文
- その他
- その他
- 個人的な
- 電力
- かなり
- ラボレーション
- 公共
- 範囲
- リーディング
- リリース
- リソースを追加する。
- リソース
- 応答
- リスク
- ルール
- ランニング
- セキュリティ
- セキュリティテスト
- 設定
- 簡単な拡張で
- サイズ
- So
- ソフトウェア
- スピード
- SQL
- SQLインジェクション
- 統計
- システム
- テクノロジー
- 伝える
- テスト
- テスト
- 未来
- 脅威
- 時間
- 豊富なツール群
- top
- トレーニング
- 信頼
- users
- バーチャル
- 仮想アシスタント
- 脆弱性
- 脆弱性
- 脆弱な
- ワトソン
- ウェブ
- Webアプリケーション
- ウェブブラウザ
- ウェブサイト
- この試験は
- 無し
- 言葉
- 仕事
- XSS
- XSS vulnerability
- 年