正体不明の脅威アクターが、Vercelの生成AIツールv0を悪用し、正規のサイトを装った偽のサインインページを設計していることが確認されました。
「この観測結果は、脅威アクターがシンプルなテキストプロンプトから機能的なフィッシングサイトを生成する能力を示し、生成AIの武器化が新たな段階に進化したことを示しています」と、Oktaの脅威インテリジェンス研究者であるHoussem Eddine Bordjiba氏とPaula De la Hoz氏は述べています。
v0は、Vercelが提供するAI搭載のサービスで、ユーザーが自然言語のプロンプトを使って基本的なランディングページやフルスタックアプリを作成できるものです。
このアイデンティティサービスプロバイダーによると、詐欺師がこの技術を利用し、複数のブランドに関連するログインページの説得力のあるレプリカを開発しているのが観測されており、その中には自社の顧客(匿名)も含まれていました。責任ある開示の後、Vercelはこれらのフィッシングサイトへのアクセスをブロックしました。
このキャンペーンの背後にいる脅威アクターは、偽装した企業のロゴなどの他のリソースもVercelのインフラ上にホストしていることが判明しており、これは開発者プラットフォームに対する信頼を悪用し、検出を回避するためと考えられます。
従来のフィッシングキットがある程度のセットアップ作業を必要とするのに対し、v0のようなツール(およびGitHub上のオープンソースクローン)は、プロンプトを入力するだけで偽ページを立ち上げることができます。より速く、簡単で、コーディングスキルも不要です。これにより、スキルの低い脅威アクターでも、説得力のあるフィッシングサイトを大量に簡単に作成できるようになります。
「観測された活動は、現在の脅威アクターが先進的な生成AIツールを積極的に実験・武器化し、フィッシング能力を効率化・強化していることを裏付けています」と研究者らは述べています。
「Vercelのv0.devのようなプラットフォームを利用することで、新興の脅威アクターは高品質で巧妙なフィッシングページを迅速に作成でき、攻撃のスピードと規模が増しています。」
このような動きは、悪意のあるアクターが大規模言語モデル(LLM)を犯罪活動に活用し、違法目的に特化した無検閲バージョンのモデルを構築し続けている中で起きています。サイバー犯罪の分野で人気を集めているLLMの一つがWhiteRabbitNeoで、「(Dev)SecOpsチーム向けの無検閲AIモデル」と自称しています。
「サイバー犯罪者は、無検閲LLM、サイバー犯罪者が設計したLLM、正規LLMのジェイルブレイクなどにますます傾倒しています」とCisco Talosの研究者Jaeson Schultz氏は述べています。
「無検閲LLMはガードレールによる制約を受けない非整合モデルです。これらのシステムは、ユーザーのプロンプトに対して、機密性が高い、論争的、または潜在的に有害な出力も平然と生成します。そのため、無検閲LLMはサイバー犯罪利用に最適です。」
これは、私たちが目にしている大きな変化に合致しています。フィッシングはこれまで以上にAIによって強化されています。偽のメール、クローン音声、さらにはディープフェイク動画までもがソーシャルエンジニアリング攻撃に登場しています。これらのツールは攻撃者が迅速に規模を拡大するのを助け、小規模な詐欺を大規模かつ自動化されたキャンペーンへと変えています。もはや単にユーザーを騙すだけでなく、欺瞞のシステム全体を構築する時代になっています。
翻訳元: https://thehackernews.com/2025/07/vercels-v0-ai-tool-weaponized-by.html