出典:Stephen Frost(Alamy Stock Photo経由)
新たなClickFixソーシャルエンジニアリングの概念実証攻撃は、AI要約を利用してランサムウェアを配布します。
脅威監視ベンダーのCloudSEKは、本日ClickFixの概念実証(POC)エクスプロイトに関する調査結果を発表しました。ClickFixは、攻撃者がエラーメッセージや行動喚起を表示し、ターゲットに自己破壊的なコマンドの実行を促す、人気が高まりつつあるソーシャルエンジニアリング手法です。
例えば、3月にはMicrosoftが、Storm-1865として追跡されている脅威アクターがBooking.comになりすまし、ClickFix攻撃をメールで実施した事例について調査結果を発表しました。別の例では、脅威アクターがストリーミングサービスLES Automotiveを感染させ、その下流顧客を標的にしました。このサービスは(攻撃者を通じて)一時的に偽のreCAPTCHAチャレンジを表示し、顧客のウェブサイト訪問者に悪意あるコマンドをWindowsの「ファイル名を指定して実行」プロンプトに貼り付けるよう促しました。自動車ディーラーに属する100以上のウェブサイトが、このインシデント中に一時的に攻撃者の悪意あるコードを配信しました。
今回の最新の概念実証エクスプロイトでは、CloudSEKは脅威アクターがAI生成のテキスト要約を操作し、悪意あるWindows実行コマンドを表示させるコンテンツを作成できることを示しました。
CSS難読化と「プロンプト過剰」
この調査をまとめたCloudSEKの脆弱性研究者Dharani Sanjaiyは、ブログ記事で、攻撃者はウェブページ、ブログ投稿、メールなどのHTMLコンテンツを作成することから始めると説明しています。
訪問者や読者が目にするコンテンツは一見無害に見えますが、実際には白地に白文字、ゼロ幅文字、極小フォントサイズ、画面外へのテキスト配置などの「トリック」を使い、悪意あるコードを隠しています。悪意あるコードは繰り返し貼り付けられ、AIモデルがコンテンツを処理する際にペイロードが優先されるようにして、AI要約に反映される仕組みです。
「要約ツールで処理されると、繰り返された指示がモデルの文脈を支配し、生成された要約に目立つ形で、しばしばそれだけが現れることになります」とブログ記事には書かれています。
提供された例では、隠されたペイロードが、ユーザーにPowerShellコマンドをWindowsの「ファイル名を指定して実行」プロンプトに貼り付けるよう推奨し、それによって攻撃者のランサムウェア感染が始まります。
「このように作成されたコンテンツが公開または配布されると、検索エンジンにインデックスされたり、フォーラムに投稿されたり、ターゲットに直接送信されたりします。被害者がAI要約ツール(メールクライアント、ブラウザ拡張機能、生産性ツールなどに組み込まれているものも含む)を使用すると、要約ツールが不可視のペイロードを処理し、それを要約の一部として出力します」とSanjaiy氏は書いています。「指示が要約ツール自身から出ているように見えるため、被害者は疑うことなく従いやすくなります。」
つまり、コンテンツの形態は様々でも、最終的な目的は「間接的なランサムウェア誘導」を生成し、AIツールを「受動的なアシスタントからソーシャルエンジニアリング連鎖の能動的な参加者」に変えることにあります。
Dark ReadingはCloudSEKに追加コメントを求めて連絡しました。
防御側ができること
この新たなClickFixの亜種による脅威に対抗するため、CloudSEKは組織に対し、要約ツールがHTMLを事前処理して前述のような疑わしいCSS属性を正規化すること、AIツールが要約ツールにプロンプトを渡す前にプロンプトサニタイザーを使用すること、ペイロードパターン認識を実装すること、エンタープライズレベルのAIポリシー施行を実装することを推奨しています。
「社内で要約ツールを展開している組織は、社内AIパイプラインに取り込む前に、受信文書やウェブコンテンツに隠しテキストや指示が含まれていないかスキャンするポリシーを策定すべきです」とSanjaiy氏は書いています。「これらのチェックをセキュアなメールゲートウェイ、コンテンツ管理システム、ブラウザ拡張機能に統合することで、リスク露出を低減できます。」
Dark ReadingはCloudSEKに追加コメントを求めて連絡しました。