サイバーセキュリティ研究者らは、PromptFixと呼ばれる新たなプロンプトインジェクション手法を実証しました。これは、ウェブページ上の偽のCAPTCHAチェック内に悪意ある指示を埋め込むことで、生成AI(GenAI)モデルを意図した行動に誘導するものです。
Guardio Labsによれば、これは「ClickFix詐欺のAI時代版」とされており、この攻撃手法は、PerplexityのCometのようなAI駆動ブラウザが、ユーザーの代わりにオンラインショッピングやメール処理などの単純作業を自動化する際に、ユーザーの知識や介入なしにフィッシングページや偽のストアフロントとやり取りさせられる可能性を示しています。
「PromptFixでは、アプローチが異なります。我々はモデルを強制的に従わせようとはしません」とGuardioは述べています。「その代わり、人間のソーシャルエンジニアリングの手法を借用し、モデルの根本的な設計目標、すなわち“人間を迅速かつ完全に、ためらいなく助けること”に直接訴えかけるのです。」
これにより、同社がScamlexity(「詐欺」と「複雑さ」の造語)と呼ぶ新たな現実が生まれます。これは、エージェント型AI(自律的に目標を追求し、意思決定し、最小限の人間の監督で行動できるシステム)が、詐欺を全く新しいレベルに引き上げるものです。
LovableのようなAI搭載コーディングアシスタントがVibeScammingのような手法に脆弱であることが証明されている中、攻撃者はAIモデルを騙して、機密情報を渡させたり、Walmartを装った偽サイトで購入を実行させたりすることができます。
これらはすべて、ソーシャルメディア広告、スパムメッセージ、検索エンジン最適化(SEO)ポイズニングなど、さまざまな方法で偽サイトに人間が誘導された後、「Apple Watchを買って」などの簡単な指示を出すだけで実現可能です。
Scamlexityは「AIの利便性と新たな見えない詐欺の表面が衝突し、人間が巻き添え被害となる、複雑な新時代の詐欺」だとGuardioは述べています。
サイバーセキュリティ企業は、Cometでこのテストを何度も実施したとし、ブラウザは時折停止して人間ユーザーに手動でチェックアウトを完了するよう求めることもありました。しかし複数のケースで、ブラウザは商品をカートに追加し、ユーザーの保存済み住所やクレジットカード情報を偽ショッピングサイトで確認なしに自動入力しました。
同様に、Cometにメールメッセージのアクション項目を確認するよう指示するだけで、銀行からのスパムメールを解析し、メッセージ内の埋め込みリンクを自動でクリックし、偽のログインページに認証情報を入力することが判明しました。
「結果として、完全な信頼の連鎖が暴走します。メールからウェブサイトまでのやり取りをCometが全て処理することで、Cometはフィッシングページを事実上保証したことになります」とGuardioは述べています。「人間は疑わしい送信者アドレスも、リンクにカーソルを合わせることも、ドメインを確認する機会もありませんでした。」
それだけではありません。プロンプトインジェクションがAIシステムに直接的・間接的な形で影響を及ぼし続ける中、AIブラウザは、人間ユーザーには見えないがAIモデルが解析できるウェブページ内の隠しプロンプトにも対処しなければなりません。
このいわゆるPromptFix攻撃は、AIモデルにウェブページ上の見えないボタンをクリックさせてCAPTCHAチェックを回避し、悪意あるペイロードをダウンロードさせるよう仕向けるもので、人間ユーザーの関与なしにドライブバイダウンロード攻撃を引き起こします。
「PromptFixはComet(本当にAIエージェントとして機能する)でのみ動作し、同様にChatGPTのエージェントモードでも、指示通りにボタンをクリックさせたりアクションを実行させたりすることに成功しました」とGuardioはThe Hacker Newsに語りました。「違いは、ChatGPTの場合、ダウンロードされたファイルは仮想環境内に保存され、直接あなたのコンピュータには届かないことです。すべてがサンドボックス環境で動作しているためです。」
この発見は、AIシステムがフィッシング検出、URLレピュテーションチェック、ドメインなりすまし、悪意あるファイルなどに対する堅牢なガードレールを構築し、これらの攻撃を予測・検知・無効化するために、リアクティブな防御を超えた対応が必要であることを示しています。
この動向はまた、攻撃者がウェブサイトビルダーやライティングアシスタントなどのGenAIプラットフォームを活用し、リアルなフィッシングコンテンツの作成や信頼されるブランドのクローン作成、ローコードサイトビルダーのようなサービスを使った大規模な自動展開を行うケースが増えていることとも重なります(Palo Alto Networks Unit 42より)。
さらに、AIコーディングアシスタントが意図せず独自コードや機密知的財産を漏洩させ、標的型攻撃の入口となる可能性があると同社は付け加えています。
エンタープライズセキュリティ企業Proofpointは、Lovableサービスを利用して多要素認証(MFA)フィッシングキット(Tycoonなど)、暗号通貨ウォレットドレイナーやマルウェアローダー、クレジットカードや個人情報を狙うフィッシングキットを配布する多数のキャンペーンを観測したと述べています。
Lovableで作成された偽サイトは、CAPTCHAチェックを解くとMicrosoftブランドの認証情報フィッシングページにリダイレクトされます。他にもUPSなどの配送・物流サービスを装い、被害者に個人・金融情報を入力させたり、zgRATのようなリモートアクセス型トロイの木馬をダウンロードさせるページに誘導したりするケースも確認されています。
LovableのURLは投資詐欺や銀行認証情報のフィッシングにも悪用されており、サイバー犯罪への参入障壁を大幅に下げています。Lovableはその後、これらのサイトを削除し、悪意あるウェブサイトの作成を防ぐAI駆動のセキュリティ対策を導入しました。
その他のキャンペーンでは、YouTubeやソーシャルメディア上で配信される偽のディープフェイクコンテンツを利用し、ユーザーを詐欺的な投資サイトに誘導しています。これらのAI投資詐欺は、Medium、Blogger、Pinterestなどのプラットフォーム上にホストされた偽のブログやレビューサイトを利用し、偽の信頼性を演出しています。
「GenAIは既存の攻撃手法を置き換えるのではなく、脅威アクターの活動を強化します」とCrowdStrikeは2025年のThreat Hunting Reportで述べています。「あらゆる動機やスキルレベルの脅威アクターが、今後近い将来から中期的にかけて、ソーシャルエンジニアリング目的でGenAIツールの利用をほぼ確実に増やすでしょう。特に、これらのツールがより利用しやすく、高度になっていくにつれて、その傾向は強まります。」
翻訳元: https://thehackernews.com/2025/08/experts-find-ai-browsers-can-be-tricked.html