AIツールVercelがサイバー犯罪者によって悪用され、Malwarebytesそっくりのウェブサイトが作成されました。
サイバー犯罪者は、説得力のある偽ブランドサイトを作成するために、もはやデザインやコーディングスキルを必要としません。必要なのはドメイン名とAIウェブサイトビルダーだけです。数分で、サイトの外観と雰囲気をクローン化し、支払いや認証情報窃取のフローを組み込み、検索、ソーシャルメディア、スパムを通じて被害者を誘い込むことができます。
確立され信頼されたブランドであることの副作用の1つは、何の努力もせずにその信頼の一部を得たいと考える模倣者を引き寄せることです。サイバー犯罪者は、新しいものを発明するよりも、ユーザーがすでに認識しているものになりすます方がはるかに簡単にユーザーを騙せることを常に知っていました。そしてAIの発展により、詐欺師が説得力のある偽サイトを作成することが容易になりました。
もっともらしく見えるドメインを登録することは安価で迅速です。特に、事前審査をほとんどまたは全く行わないレジストラやリセラーを利用すれば。攻撃者が本物に十分近く見える名前を取得すると、AI搭載ツールを使用してレイアウト、色、ブランディング要素をコピーし、「ブランドに沿った」製品ページ、サインアップフロー、FAQを生成できます。
偽の「公式」サイトの洪水
最近のホリデーシーズンのデータは、大規模なドメイン悪用がいかに日常的になったかを示しています。
2025年のショッピングシーズンに向けた3か月間で、研究者は「クリスマス」「ブラックフライデー」「フラッシュセール」などの誘い文句を含む18,000以上のホリデーテーマドメインを観測し、少なくとも750が悪意あるものと確認され、さらに多くが調査中です。同じ期間に、主要小売ブランドを明示的になりすますために約19,000の追加ドメインが登録され、そのうち約3,000がすでにフィッシングページや詐欺的なストアフロントをホストしていました。
これらのサイトは、認証情報の収集や支払い詐欺から、「注文追跡」や「セキュリティ更新」を装ったマルウェア配信まで、あらゆる目的に使用されます。
攻撃者はその後、SEOポイズニング、広告悪用、コメントスパムを使用して可視性を高め、そっくりサイトを検索結果に押し上げ、正規のサイトのすぐ隣のソーシャルフィードで宣伝します。ユーザーの視点から、特にホバー機能のないモバイルでは、その偽サイトはタイプミスやタップ1つ先にあるだけです。
なりすましが身近に
最近の事例は、参入障壁がいかに低くなったかを示しています。
ロゴからレイアウトまで本物のMalwarebytesサイトを装ったinstallmalwarebytes[.]org のサイトについて警告を受けました。
詳しく調べると、HTMLにAI支援アプリおよびウェブサイトビルダーであるv0 by Vercelを指すメタタグ値が含まれていることが明らかになりました。
このツールを使用すると、ユーザーは既存のURLをプロンプトに貼り付けて、そのレイアウト、スタイル、構造を自動的に再作成できます。非常に短時間でサイトのほぼ完璧なクローンを作成できます。
偽装ドメインの履歴は、悪用への段階的な進化を物語っています。
2019年に登録されたこのサイトは、当初Malwarebytesのブランディングを含んでいませんでした。2022年、運営者はインドネシア語のセキュリティコンテンツを公開しながらMalwarebytesのブランディングを重ねるようになりました。これは検索の評判を高め、訪問者にブランドの外観を正常化するのに役立った可能性があります。その後、サイトは空白になり、2025年の公開アーカイブ記録はなく、AI支援ツールに支えられた完全なクローンとして再浮上しました。
トラフィックは偶然に到着したわけではありません。サイトへのリンクは、コメントスパムや無関係なウェブサイトに挿入されたリンクに表示され、ユーザーにオーガニックな参照の印象を与え、偽のダウンロードページに誘導しました。
支払いフローも同様に不透明でした。偽サイトはPayPalを支払いに使用していましたが、統合によってユーザー向けの確認画面から販売者の名前とロゴが隠され、購入者自身の詳細のみが表示されました。これにより、犯罪者は自分自身についてできるだけ少ない情報を明らかにしながら金銭を受け取ることができました。
舞台裏では、過去の登録データがインドが起源であること、そして通常の本番ホスティングではなくドメインパーキングやその他の疑わしい用途に関連するホスティングIP(209.99.40[.]222)を指していました。
AI搭載のクローン化と回避的な支払い設定を組み合わせると、低労力で高い確信を持った詐欺の全体像が浮かび上がりました。
力の乗数としてのAIウェブサイトビルダー
installmalwarebytes[.]org のケースは、AI支援ビルダーの孤立した誤用ではありません。これは、攻撃者が生成ツールを使用して大規模にフィッシングサイトを作成およびホストする、より広範なパターンに適合しています。
脅威インテリジェンスチームは、Vercelのv0プラットフォームの悪用を文書化しています。これは、アイデンティティプロバイダーやクラウドサービスなど、さまざまなブランドのサインインポータルになりすました完全に機能するフィッシングページを、単純なテキストプロンプトから生成します。AIがクローンを生成すると、犯罪者はいくつかのリンクを調整して自分の認証情報窃取バックエンドを指すようにし、数分で稼働できます。
現代のフィッシングにおけるAIの役割に関する研究は、攻撃者が複数の言語で説得力のあるコピーを作成することから、デバイス間できれいにレンダリングされるレスポンシブページを立ち上げることまで、キルチェーン全体を合理化するために、ウェブサイトジェネレーター、ライティングアシスタント、チャットボットに大きく依存していることを示しています。AI支援フィッシングキャンペーンの1つの分析では、観測された悪用の約40%がウェブサイト生成サービスを含み、30%がAIライティングツールを含み、約11%がチャットボットを活用しており、多くの場合組み合わせて使用されていることがわかりました。このスタックにより、スキルの低い行為者でさえ、以前は専門スキルや有料キットを必要としていたプロフェッショナルな外観の詐欺を生み出すことができます。
成長第一、ガードレールは後回し
根本的な問題は、AIがウェブサイトを構築できることではありません。AIプラットフォーム開発に関するインセンティブが歪んでいることです。ベンダーは、新しい機能を出荷し、ユーザーベースを成長させ、市場シェアを獲得するという強い圧力を受けており、その圧力は悪用防止への真剣な投資に先行することがよくあります。
Malwarebytesのゼネラルマネージャー、Mark Beareが述べたように:
「LovableやVercelのようなAI搭載ウェブサイトビルダーは、数分で洗練されたサイトを立ち上げるための障壁を劇的に下げました。これらのプラットフォームには基本的なセキュリティ制御が含まれていますが、その中核的な焦点は速度、使いやすさ、成長であり、大規模なブランドなりすましの防止ではありません。その不均衡により、悪意のある行為者が防御よりも速く動き、被害者や企業が反応する前に説得力のある偽ブランドを立ち上げる機会が生まれます。」
サイトジェネレーターは、検証なしに有名企業のブランドのクローン化を許可し、公開フローは本人確認をスキップし、モデレーションは静かに失敗するか、悪用報告後にのみ反応します。一部のビルダーでは、メールアドレスの確認さえせずに誰でもサイトを立ち上げて公開できるため、アカウントがフラグ付けされたり削除されたりするとすぐにアカウントを使い捨てることが容易になります。
公平に言えば、一部のプロバイダーは開示後に特定のフィッシングキャンペーンをブロックしたり、限定的なブランド保護制御を追加したりすることで対応し始めている兆候があります。しかし、これらは多くの場合、被害が発生した後に適用される事後的な修正です。
一方、攻撃者は、意味のあるコンテンツモデレーションが全くない可能性のある、他の場所でホストされている同じツールのオープンソースクローンやわずかに修正されたフォークに移行できます。
実際には、正味の効果は、AI企業が寛容なツールによってもたらされる成長と実験から利益を得る一方で、その結果は被害者と防御者に委ねられるということです。
当社はウェブ保護モジュールでドメインをブロックし、ドメインとベンダーの削除を要請しました。
安全を保つ方法
エンドユーザーは、ずれたAIインセンティブを修正することはできませんが、ブランドなりすまし者の生活を困難にすることはできます。クローン化されたウェブサイトが説得力があるように見える場合でも、注意すべき危険信号があります:
- 支払いを完了する前に、常に「支払先」の詳細または取引概要を確認してください。販売者が指定されていない場合は、取り消してサイトを疑わしいものとして扱ってください。
- ウェブ保護モジュールを備えた最新のリアルタイムマルウェア対策ソリューションを使用してください。
- 製品を購入するために、コメント、ソーシャルメディア、または未承諾の電子メールに投稿されたリンクをフォローしないでください。常にベンダーに到達するための検証済みで信頼できる方法に従ってください。
偽のMalwarebytesウェブサイトに遭遇した場合は、お知らせください。
