攻撃者たちは、実在する企業を装った偽のChatGPTワークスペースを作成し始めています。そして、正規のOpenAIメールを通じて従業員を招待するのです。この手口が危険なのは、通常のフィッシングとはまったく見えない点にあります。メッセージは正規のOpenAIアドレスから届き、メール認証を通過し、企業組織への標準的な招待状と変わらない形式をとっています。
Push Securityがこのキャンペーンを発見したのは、自社のスタッフ数名が「Push Security Inc.」という名のOpenAI組織への招待を受け取ったことがきっかけでした。一見すると、メールは本物に見えました。送信元は[email protected]、つまり攻撃者のドメインではなく、OpenAI自身のインフラからのものでした。問題は別のところにありました。ChatGPTワークスペースを作成したのは、雇用主ではなくGmailアドレスを持つ不明の人物だったのです。
無差別ではなく、標的を絞った攻撃
Push Securityによると、同社の他の顧客も同様の招待を受け取っています。判明している標的はいずれも、サイバーセキュリティまたはテクノロジー業界に従事しています。攻撃者は無作為なアドレスにメールを送ったわけではなく、特定の従業員の業務用受信トレイに狙いを定めていました。このことから研究者たちは、攻撃者が事前に企業の組織構造を調査し、ソーシャルエンジニアリングを通じて適切な人物を選び出したと考えています。
OpenAIは、招待者のドメインが受信者のドメインと異なる場合、メールに警告を追加するようになっています。しかしその注記は、それ以外は普通のメッセージの中のたった1行に過ぎません。見慣れたテンプレート、正規の送信者アドレス、そして招待状に記載された会社名という状況では、その警告は見落とされやすいのです。
罠の中へ:1クリックで侵入
目的を把握するため、Push Securityの幹部の一人が招待を承諾しました。サインインすると、偽の組織へと誘導されました。そこにはすでに、Gmailアドレスに紐づいた攻撃者のアカウントが1つ存在していました。そのアカウントはPush SecurityのCEOであるAdam Batemanになりすましていました。招待されたすべての従業員には「オーナー」権限、つまりワークスペースへの管理者アクセス権が付与されていました。
このアクセス権により、研究者は保留中の招待一覧を確認することができました。他の従業員は誰も偽の組織に参加していないことも確認されました。また、設定には紐づけられたVisaカードが登録されていました。この支払い方法が信頼性を高めていました。ワークスペースは空の罠というよりも、有料機能が使える状態に設定された企業環境のように見えました。
想定される最終目的
内部には既存のチャットやプロジェクトは存在しませんでした。そのため、このキャンペーンの正確な目的は現時点では未確認です。Push Securityは、攻撃者が従業員のその後の行動を期待していたと見ています。誰かが招待を承諾し、ChatGPTを業務ツールとして使い始めたとします。そのプロンプトには、ソースコード、社内文書、顧客データ、セキュリティ調査、製品計画、その他の機密情報が含まれる可能性があります。こうした情報漏洩は、企業スパイ活動や知的財産の窃取につながりかねません。
通常のフィッシングより巧妙な理由
攻撃者にとって、この手口は従来のフィッシングよりも効果的です。ドメインを偽装する必要も、メールフィルターをかいくぐる必要も、被害者を怪しいサイトに誘導する必要もありません。プラットフォーム自体が招待を送信するのです。その結果、セキュリティツールから見てもメールは正常に見えます。さらに、会社名、オーナー権限、紐づけられたカードという要素が、受信者の警戒心をさらに低下させます。
広がるSaaS悪用の傾向
Push Securityは、このキャンペーンをより広いパターンの一部として位置づけています。招待、通知、共有ワークスペース、アクセス付与といった正規のSaaS機能を悪用する攻撃者が増えています。こうした攻撃では、悪意のある要素はメール内のリンクではありません。むしろ、正規のプラットフォームの内部に作り出されたコンテキストそのものです。
対策方法
同社は、メールが正規のベンダーアドレスから届いた場合でも、企業サービスへの予期せぬ招待は必ず確認するよう従業員に助言しています。組織にとっては、独自の監視体制が重要です。企業名を冠したワークスペースを誰が作成しているか、従業員がどの組織に参加しているか、そして外部のどのSaaSテナントが企業アドレスへのアクセスを得ているかを追跡する必要があります。
こうしたサービスを選ぶ際は、不正アクセスに対するアカウント保護機能に加え、アクティブセッション管理と二要素認証のサポートがあるものを選んでください。AIサービスではリスクが特に高くなります。なぜなら、ユーザーは通常のウェブフォームには絶対に入力しないようなデータをチャットボットに渡してしまうことが多いからです。
翻訳元: https://meterpreter.org/openai-poisoned-tenant-attack/
