サイバー犯罪フォーラムにおける大規模言語モデル(LLM)のサイバー脅威インテリジェンス(CTI)への活用

LLM（大規模言語モデル）を用いてサイバー犯罪フォーラムの情報を分析する際には、いくつかの重要な課題が存在します。まず、LLMは過去の出来事と現在の事象を区別するのが難しいため、ユーザーが報告するストーリーや過去のイベントを誤って現在のアクティビティとして解釈することがあります。これにより、例えば「販売が行われた」と誤って分類されるケースが生じ、実際には過去の出来事を語っているだけの可能性があります。 次に、プロンプトの文法や時制の不一致も問題です。プロンプトが現在形で書かれている一方で、会話の要約が過去形である場合、LLMは正確に情報を抽出できないことがあります。このような文法的な不整合は、特に「販売が行われた」という変数のコーディングに影響を与え、重要な情報を見逃す原因となります。 さらに、データのチャンク化（分割方法）も課題です。会話が複数日にわたる場合、要約が重要な文脈を見逃すことがあり、誤ったラベル付けにつながることがあります。これにより、LLMが特定の変数を誤ってコーディングするリスクが高まります。

LLMの性能を向上させるためには、いくつかの取り組みが必要です。まず、プロンプトの設計を見直し、文法や時制の一貫性を保つことが重要です。過去の出来事やストーリーを正確に識別できるように、プロンプトを調整することで、LLMがより正確に情報を抽出できるようになります。 次に、データのチャンク化方法を改善することも必要です。会話全体を一度に処理することで、重要な文脈を見逃すリスクを減少させることができます。特に、長いスレッドや複数日の会話においては、全体を通しての理解が重要です。 また、LLMが特定の概念を解釈する際のガイドラインを提供することも有効です。例えば、「大規模な組織」や「重要インフラ」といった用語の定義を明確にすることで、LLMがより一貫した判断を下せるようになります。これにより、誤ったコーディングを減少させ、精度を向上させることが期待されます。

LLMの活用は、サイバー脅威インテリジェンス（CTI）において人間のアナリストに多大な影響を及ぼすと考えられます。まず、LLMは大量のデータを迅速に処理し、重要な情報を抽出する能力があるため、アナリストの作業負担を軽減し、より戦略的なタスクに集中できるようになります。これにより、アナリストはより価値の高い業務に時間を割くことができ、全体的な効率が向上します。 さらに、LLMは初期のデータレビューを自動化することで、CTIチームが最も関連性の高い情報に迅速にアクセスできるようにします。これにより、脅威の検出や対応が迅速化し、サイバー攻撃のリスクを低減することが可能になります。 ただし、LLMの導入には注意が必要です。モデルが誤った情報を提供した場合、アナリストがその情報に基づいて判断を下すリスクがあるため、LLMの結果を常に検証する必要があります。したがって、LLMはアナリストの補助ツールとして機能するべきであり、最終的な判断は人間のアナリストが行うべきです。このように、LLMの活用はアナリストの役割を変革し、より効率的で効果的なサイバー脅威インテリジェンスの実現に寄与するでしょう。