- Unit 42は、GenAIが動的でパーソナライズされたフィッシング用ウェブサイトを可能にすると警告
- LLMがユーザーごとに固有のJavaScriptペイロードを生成し、従来の検知手法を回避
- 研究者は、より強固な安全対策、フィッシング防止、職場でのLLM利用の制限を呼びかけ
生成AI(GenAI)が初めて登場したとき、初期の論者たちは動的ウェブサイトについて語っていました。つまり、あらかじめ設計して公開するのではなく、訪問者の所在地、使用したキーワード、閲覧習慣、利用デバイス、意図などに応じて、その場で生成されるサイトです。
静的ウェブサイトの時代はどうやら終わりに近づいており、ほどなくしてインターネット上で目にするコンテンツは、私たち一人ひとりに合わせて唯一無二に最適化されたものになる――というわけです。
しかし、その夢はいまだ実現していないものの、このアプローチの先駆者となるのは、おそらくサイバー犯罪者でしょう。
決して机上の話ではない
Palo Alto NetworksのUnit 42部門のセキュリティ研究者は、この手法がフィッシングに容易に悪用できることを突き止めました。
要するに、仕組みは次のとおりです。
被害者はフィッシングによって、一見無害に見えるウェブページへ誘導されます。そのページには目に見える悪意あるコードは含まれていませんが、読み込まれると、正規のLLM APIに対して巧妙に作られたプロンプトを送信します。LLMはJavaScriptコード(ユーザーごとに固有で、毎回異なる)を返し、それが組み立てられてブラウザ上で直接実行されます。
その結果、研究者がネットワーク上で傍受して分析できるような静的ペイロードが配信されることなく、完全に機能するパーソナライズされたフィッシングページが生成され、被害者に提示されます。
この手法は現時点では主に概念実証(PoC)ですが、単なる仮説というわけでもありません。Unit 42は、実際の環境でそのような攻撃を観測したとは述べていないものの、構成要素が利用されていることを示唆しました。
LLMはすでに(オフラインではあるものの)難読化されたJavaScriptを生成しています。侵害されたマシン上での実行時利用は至るところで見られ、LLM支援型のマルウェア、ランサムウェア、サイバー諜報キャンペーンは日々増加しています。
Unit 42は、動的に生成されるフィッシングページこそ詐欺の未来だと強調しつつも、ブラウザベースのクローラーを強化することで検知は依然として可能だと付け加えました。
「防御側は、職場で承認されていないLLMサービスの利用も制限すべきです。これは完全な解決策ではありませんが、重要な予防策になり得ます」と彼らは述べています。
「最後に、私たちの研究は、LLMプラットフォームにおけるより堅牢な安全ガードレールの必要性を浮き彫りにしています。慎重なプロンプトエンジニアリングによって既存の保護を回避し、悪用を可能にできることを示したからです。」
