新種のマルウェアが、検知を回避し、カスタマイズされたフィッシングWebページを作成するために、さまざまな動的手法を用いている。
AIを利用した攻撃は、無害なWebページをカスタムのフィッシングページへと変貌させることができる。Palo Alto NetworksのUnit 42による研究で明らかになったこの攻撃は、複数の難読化手法を組み合わせる巧妙さが際立っている。しかし、その組み合わせは致命的になり得て、発見が難しく、悪意ある攻撃者がAIを用いて企業ネットワークを侵害するうえで、また新たな攻撃戦線を示すものでもある。
攻撃は、元の普通のWebページから始まり、攻撃者がLLMへのクライアントサイドAPI呼び出しを追加することで、リアルタイムに悪意あるJavaScriptコードを動的生成できるようにする。このポリモーフィック手法が危険である理由はいくつかある。第一に、AIモデルに組み込まれたセキュリティのガードレールを回避できる可能性がある。第二に、信頼されたLLMドメインからマルウェアを配信するため、一般的なネットワーク分析をすり抜ける恐れがある。実行時の振る舞い分析によるスクリーニングがなければ、最終的なマルウェアコードの組み立てがクライアントのブラウザ内で行われ、プロセスのどこにも静的なペイロードの痕跡を残さないため、容易には発見もブロックもされない。
Unit 42のアナリストは、DeepSeekやGoogleのGeminiといった人気LLMを呼び出して悪意あるJavaScriptを返させる概念実証(PoC)コードを書いた。鍵となるステップは、別々のプロンプトを使って、マルウェアを翻訳し、その機能を平文として説明するAIプロンプトを作成し、そこから実際のマルウェアコードの異なる断片を生成させることだ。AIモデルは多様なフィッシング用コード内容を生成でき、さらにそれらの断片を組み立てることもできるが、どちらも検知をより困難にする。前述のとおり、この組み立てはマルウェア供給チェーンの最終段階で行われ、SquareXが呼ぶところの「ラストマイル再組み立て攻撃」である。
この攻撃自体はまったく新しいというわけではないが、新しいのは、AIが生成するコード断片の種類であり、より検知しにくい点だ。PoCで用いられた例では、プロンプト指示の中で4つのコード断片が説明されており、それぞれがマルウェアの動作における異なるステップに関わっていた。アナリストによれば、各プロンプトは、構文的にはユニークでありながら機能的には同一の悪意あるコードのバリアントを返すという。これは、静的シグネチャ検知アルゴリズムを回避しようとする攻撃者によって数十年前に初めて考案された、カスタムコードのマルウェアのAI版だと考えるとよい。
最終的なマルウェアの組み立てを実現する方法はいくつかあり、バックエンドのプロキシサーバーやコンテンツ配信ネットワークを利用して、信頼されたドメインから「ブツ」を届けることでマルウェアの真の性質をさらに隠すこともできる。
「残念ながら、少なくとも一部は、ユーザーが最後の防衛線であるという点に帰着します」と、Forresterのプリンシパルアナリスト(セキュリティおよびリスク担当)のAllie Mellen氏はCSOに語った。「この攻撃は、ベンダーが一部のフィッシング検知手法を使えないようにしますが、フィッシング検知の中核的な機能の多くは、ここでも依然として有効です。」
Forresterでメールセキュリティを担当するアナリストのJess Burn氏も、既存の防御技術で一定の保護が得られる点に同意している。しかし、「この攻撃はブラウザとLLMを使ってその場でフィッシングページを構築するものの、問題はそもそもユーザーがどうやってそのページに到達したのかという点です。疑わしいリンク、新規登録ドメイン、なりすましブランド、不審な送信者の振る舞いを検知するように調整されたメールおよびコラボレーションのセキュリティツールは、メッセージ層でこれらのキャンペーンの多くを依然として阻止でき、ユーザーが実行時に悪性化する『魔法の』ページへクリックして到達すること自体を防げます。」
Unit 42は当然ながら、この攻撃への防御に役立つとしてPalo Alto Networksの製品を推奨している。ほかの解決策としては、セキュアWebゲートウェイの利用に加え、ラストマイル攻撃を防止できるエンタープライズ向けセキュアブラウザの利用が挙げられる。
