-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
4月10日:サイバーセキュリティ関連ニュース
AkiraBot:OpenAI APIを悪用してWebサイトの問い合わせフォームにスパムを送り込む新たなフレームワーク
中小企業などのWebサイト上に用意されているチャットウィジェットや問い合わせフォームへ、低品質なSEOサービスを宣伝する内容のスパムメッセージを大量に送りつけるPythonフレームワーク「AkiraBot」について、SentinelOneの研究チームSentinelLabsが報告。CAPTCHAをバイパスするためのさまざまなメカニズムを備えるこのフレームワークは2024年9月以来、サイトごとにカスタマイズされたAI生成のスパムメッセージを、少なくとも80,000件のWebサイトへ送りつけているという。
AkiraBotはまず、標準的なスパムフィルターに検出・ブロックされにくいパーソナライズされた宣伝メッセージを作成するため、標的となるサイトのコンテンツを分析する。この際、主なターゲットとなるのはShopifyやGoDaddy、Wix、Squarespaceといった人気Webサイトビルダーを使っている小〜中規模の企業のWebサイト。スパムメッセージはテンプレート文をもとにしており、大まかな内容は共通しているものの、Webサイト名やカスタムコンテンツなどサイトごとに異なる要素がOpenAIのチャットAPI(gpt-4o-miniを用いるもの)によって含められる。メッセージは、「Akira」および「ServiceWrap」というブランド名の「SEOサービス」を宣伝する内容。なおAkiraBotという名称はこのブランド名に由来しており、ランサムウェアグループのAkiraとは無関係だとされる。
生成されたスパムメッセージを送り込むため、AkiraBotはCAPTCHAバイパスの手法を利用。FastCaptchaやNextCaptchaといったCAPTCHAバイパスサービスを利用するほか、正規ユーザーの挙動を模倣するためにブラウザ属性を変更してCAPTCHAシステムを欺くという。また同フレームワークは、IPアドレスやロケーションに基づく検出を避けるため、プロキシサービス「SmartProxy」を利用。これにより、ネットワークベースの保護ソリューションにブロックされるのを防ごうとする。
SentinelLabsの研究者はさらに、スパムの宣伝するSEOサービスの信ぴょう性を高めるため、偽のポジティブなレビューまで用意されていると報告。こうしたレビューはTrustPilotなどのプラットフォーム上で観測されており、これを読んだユーザーが不審なサービスを信用してしまう事態を招きかねなくなっているという。
顧客と繋がる場としてWebサイトを重用する中小企業にとって、AkiraBotが仕掛けるようなスパムは大きな頭痛の種となり得る。SentinelLabsの記事ではドメインなどのIoCが提供されており、こうしたドメインをブロックすることが有効ではあるものの、同フレームワークが進化を続けているとみられることから、警戒を緩めないことが重要であるとのこと。
AI生成スピアフィッシングの有効性が大幅向上、人間が作成したものを上回るように
2025年に入り、AI生成のスピアフィッシングが精巧さを増して人間が生成したスピアフィッシングよりもターゲットを欺ける確率が高くなったという。2023年から両者の有効性について比較実験を行ってきたHoxhuntが報告した。
同社は2023年、ChatGPTで生成したスピアフィッシングメッセージと、レッドチームの専門家が作成したメッセージをターゲットに送り、ターゲットに「クリック」させることができた件数を比較するという実験を実施。この結果、人間が作ったメッセージに比べてAI生成のものは31%有効性が劣るという結果になった。この年にはIBMのX-Force RedチームもChatGPTを用いて同様の実験を行い、人間によるフィッシングが14%のクリック率を達成したのに対しAIフィッシングは11%だったと報告。同チームの主任ハッカーSnow Carruthers氏はAIが人間に敗れた主な要因として、AIによる感情への理解の欠如を挙げていた。
その後2024年にはエージェント型AIが登場。悪意あるアクターらもこれを採用し始めるだろうと見込んだHoxhuntは独自のスピアフィッシング用AIエージェント「JKR」を開発し、比較実験を続けた。すると、AIスピアフィッシングと人間の手によるフィッシングの差は縮まり、AIの有効性はほんの10%劣るのみになったという。
Hoxhuntは引き続き、AIスピアフィッシングエージェントの進化を観測。特に2024年11月から2025年2月の期間における成長ぶりは凄まじく、2025年3月の比較実験では、ついにAI生成のフィッシングの方が人間のフィッシングよりも24%有効だという結果になった。
HoxhuntのCTOであるAvist氏は、「私たちはAIエージェントが(人間のものより)優れたスピアフィッシング攻撃を大規模に作成できることを証明した」と述べ、「間も無く、フィッシング・アズ・ア・サービス市場もAIスピアフィッシングエージェントの大規模導入へとシフトしていくだろう」と指摘している。
【無料配布中!】インテリジェンス要件定義ガイド
インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』
以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。
<ガイドブックの主なトピック>
本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。
- 脅威プロファイルの確立
- ステークホルダーの特定・分析
- ユースケースの確立
- 要件の定義と管理
- データの収集と処理
- 分析と生産
- 報告
- フィードバック
- 実効性の評価
