出典: Charlotte Allen(Alamy Stock Photoより)
論説
セキュリティの専門家にとって、サイバーの世界は戦場というより、絶えず変化するお化け屋敷のようなものです。認証情報の詰め込み攻撃(クレデンシャル・スタッフィング)や多要素認証(MFA)疲労のようなログイン攻撃を把握できたと思った矢先(昨年はどちらもやや減少傾向でした)、それは勝利ではなく、単なる偶然だったことが判明しました。
攻撃者は今やAIを武器に、もっとも簡単な標的――サインアップページ――を狙っています。これは単なる迷惑行為ではなく、顧客獲得を標的とした本格的なAI駆動の攻撃であり、重大な頭痛の種と経済的損失をもたらしています。
こう考えてみてください。例えばファストフードチェーン「ビッグバイト」が「アプリにサインアップすると無料バーガー進呈」というキャンペーンを実施したとします。顧客にとっては魅力的ですが、攻撃者にとってはごちそうです。彼らはもはや既存のビッグバイトのリワードアカウントに侵入するためにパスワードを推測するだけでなく、AIを使って何千、何百万もの新規アカウントを作成し、その無料バーガーを狙ってくるのです。
数字は嘘をつきません。2024年、私たち自身のプラットフォームでの全登録試行のうち、驚くべきことに46%がサインアップ攻撃として検知されました。これはAIによる攻撃ワークフローが直接的な原因であるとセキュリティ専門家は指摘しています。小売やEC業界の方は要注意です。小売/ECセクターに対する継続的な攻撃では、不正なサインアップが正規のものを120倍も上回ったケースもあります。無料バーガーが高額なセキュリティ問題に変わり、損失は数百万ドル規模になる可能性も。利益率が重要なビジネスにとって、これは無視できない金額です。
なぜ攻撃の矛先が変わったのでしょうか?それはMFAが進化し、ユーザーも既存アカウントの保護に賢くなってきたからです。機会主義的な攻撃者たちは、最も防御が手薄な「新規サインアップ」に狙いを移しました。AIはこの脆弱性を悪用するための拡張性とスピードを与え、さまざまな悪質な目的に利用されています。
AI駆動のフィッシング:なりすましが簡単に
サインアップ詐欺の自動化にとどまらず、生成AIツールはフィッシング攻撃を恐ろしいほど簡単かつ巧妙にしています。Okta Threat Intelligenceは、Vercelが開発した生成AIツール「v0」を攻撃者が悪用し、正規のサインインWebページを完全に模倣したフィッシングサイトを構築しているのを観測しています。これらのツールは、シンプルなテキストプロンプトだけで機能するフィッシングサイトを生成でき、技術的なハードルを大幅に下げています。
例えば攻撃者がv0を使って、ビッグバイトの従業員ログインポータルや顧客注文サイトのピクセル単位で完璧なコピーを即座に作成できると想像してください。これらのフィッシングページは、Vercelのインフラ上に偽の企業ロゴを直接ホストすることもでき、より本物らしく見え、発見が困難になります。つまり、従業員や顧客は見慣れたデザインに騙されて、本物のビッグバイトにログインしていると思い込み、認証情報を入力してしまう可能性が高くなります。
エージェントAI時代:マシンにも「アイデンティティ負債」が
そして、AIエージェントの存在も忘れてはいけません。私たちは、人間ユーザーよりも多くの本番アプリケーションやデータにAIエージェントが接続する未来へと急速に進んでいます。大きなメリットがある一方で、この急速な進化は新たなサイバーセキュリティリスクをもたらします。その最大のものが「アイデンティティ負債」です。
アイデンティティ負債とは、システム内に共有・静的なシークレットが時間とともに蓄積されていく現象であり、エージェントAIがこの蓄積を加速させています。
再びビッグバイトを例にしましょう。熱心なIT開発者が、在庫管理を支援するためにAIエージェントをバックエンドのサプライチェーンアプリケーションに接続します。その際、APIキーや基本的なユーザー名・パスワードを使うかもしれません。問題は、多くのAIエージェント向けマシン間認証方式が本番環境向きではなく、認可の制御がほとんどできないことです。
MFAが使えないアカウントは範囲が広く設定されがちで、クレデンシャル・スタッフィングやパスワードスプレー攻撃の格好の標的です。同様にAPIキーも、基本認証よりはマシですが、長期間有効で、ソース管理にチェックインされたり、ログに保存されたり、開発者のPC上の平文ファイルに残されたりしやすく、情報窃取型マルウェアの標的となります。一度傍受されると、これらの静的トークンは組織全体の機密リソースへの永続的なアクセスを許してしまいます。
マシン間プロトコルはまだ発展途上
AIアプリケーションをエンタープライズサービスに接続する新たな標準は「Model Context Protocol(MCP)」です。しかしMCPを使っても、多くの実装では静的キーやデータベース接続文字列を保存し、過剰なリスクを組織に与えています。例えばAI対応のIDEでよく使われるローカルMCPサーバーは、GitHubのパーソナルアクセストークンなどの機密認証情報を平文の設定ファイルに保存することが多く、これらのファイルは誰でも読める場合すらあります。マルウェアはこれらのシークレットが保存される一般的なパスを狙います。つまり、攻撃者が開発者のPCを侵害すれば、AIエージェントの認証情報を通じてビッグバイトの機密システムに永続的にアクセスできてしまうのです。
しかし、絶望する必要はありません
セキュリティ担当者はどうすればよいのでしょうか?特にサインアップ時に、あらゆる段階でボット検知を強化しましょう。CAPTCHAの導入をためらわず、ただしリスク閾値を超えた場合のみ賢く使いましょう。ブルートフォースや不審なIPの閾値を厳しくし、悪意のあるIPは積極的にブロックしてください。事前サインアップルールや高リスクユーザーの本人確認、連絡先情報の検証などは、もはやオプションではありません。
しかし本当の転換点は、特に新規登録時にパスワード中心の考え方から脱却することです。パスキーは強力な暗号技術に基づいており、サインアップ時に攻撃者が突破するのは非常に困難です。まだ馴染みのない方もいるかもしれませんが、優れたセキュリティと利便性を兼ね備えており、AI駆動のサインアップ詐欺に対する究極の防御策となります。
エージェント時代には、標準的なOAuthフローと安全なトークンボールトを使ってAIエージェントをアプリに接続し、静的なシークレットを晒さないようにしましょう。さらに、認可ロジックを集中管理し、各リクエストごとにきめ細かなアクセス制御を実現してください。
要するに:AI時代の攻撃者はより賢く、速く、そして予想外の場所――サインアップファネル――を狙ってきます。顧客獲得プロセスも、最も機密性の高いデータと同じレベルのセキュリティ監査を行うべき時です。そうしなければ、次の「無料バーガー」キャンペーンが、悪意ある者へのプレゼントになってしまうかもしれません。
翻訳元: https://www.darkreading.com/vulnerabilities-threats/ai-powered-sign-up-fraud-scaling-fast