セキュリティ研究者は、OpenAIの大規模言語モデル(LLM)の支援を受けて作成された勧誘メッセージにより、これまでに40万以上のウェブサイトを標的にしてきた大規模な新たなスパムキャンペーンを発見した。
SentinelLabsは、このスパム基盤を「AkiraBot」と名付けた。メッセージは「Akira」と呼ばれる疑わしいSEOサービスと、「ServiceWrap」という名称で運営される別のサービスの宣伝を目的としている。
報告書によれば、同ボットはShopify、Wix、Squarespaceでホストされている中小企業(SME)のビジネスサイトを特に狙っており、2024年9月以降、すでにそのうち8万件にスパム内容を残すことに成功しているという。
SentinelLabsは「LLM生成コンテンツの使用により、メッセージ生成のたびにスパム内容が異なるため、これらのメッセージはスパムフィルターを回避しやすくなっている可能性が高い。さらに、このフレームワークはメッセージ内で提示する攻撃者管理ドメインをローテーションさせており、スパムフィルタリングの取り組みを一層複雑にしている」と説明した。
「ボット作成者は、CAPTCHAフィルターの回避に加え、一般に広告主向けとして販売されているプロキシサービスに依存することでネットワーク検知を避けるなど、相当な労力を投じている――ただし、このサービスはサイバー犯罪者による関心と利用もかなり多い。」
LLMベースの脅威について詳しく読む:LLMjackingとオープンソースツール悪用が2024年のクラウド攻撃で急増
報告書によると、AkiraBotは当初、上記SEOサービスを宣伝する内容でウェブサイトの問い合わせフォームにスパムを送っていたが、新しいバージョンでは、サイトに統合されたライブチャットウィジェットやコメント欄も標的にしている。
昨年9月以降、このボットにはさまざまなバージョンが登場しているが、いずれも2つのハードコードされたOpenAI APIキーのうち1つを使用しているとみられる。
AkiraBotは、CAPTCHA回避サービスのCapsolver、FastCaptcha、NextCaptchaに加え、ネットワーク検知を回避するため複数のプロキシホストを使用していることが確認されている。
このボットは進捗をログに記録しており、SentinelLabsはそれにより、2025年1月時点で8万のウェブサイトへのスパム送信に成功していたことを確認できた。
報告書は「AkiraBotがLLM生成のスパムメッセージ内容を使用していることは、AIがウェブサイトをスパム攻撃から防御するうえで新たな課題をもたらしていることを示している」と結論づけた。
「ブロックしやすい指標としては、AkiraおよびServiceWrapのSEO提供を販売するために使われるローテーションするドメイン群が挙げられる。これらの企業のサービスを売り込んでいた過去のキャンペーンとは異なり、スパムメッセージ内容に一貫したパターンがもはや存在しないためだ。」
SentinelLabsのシニア脅威研究者であるJim Walter氏は、スパムのフィルタリングをCAPTCHAに依存しないようウェブサイト所有者に促し、代わりに「この種のキャンペーンを抑止するため、より複雑でインタラクションを多く要するチャレンジをサイトに組み込む」ことを勧めた。
翻訳元: https://www.infosecurity-magazine.com/news/aipowered-akirabot-captcha-spam/
