AI搭載のフィッシング詐欺、検知回避のため偽キャプチャページを利用

サイバー犯罪者は、セキュリティツールを回避するためにAIを活用し、偽のキャプチャページを使った高度なフィッシングキャンペーンを展開しています。これらのページはユーザーに正規のもののように見え、セキュリティフィルターを効果的に回避し、機密情報を取得します。

Trend Microによって特定された、これらのAI生成キャプチャページは、本物の認証システムの外観や機能を模倣するよう設計されています。偽のキャプチャページは1月からこれらのプラットフォーム上でホストされており、8月にはこの種のフィッシングキャンペーンが再び急増しています。

最小限のコーディングで最大の効果

Lovable、Netlify、Vercelなど、開発を簡素化し、アプリケーションの構築やホスティングの障壁を下げるために設計されたプラットフォームが、現在攻撃者に悪用されています。

「Lovableでは、攻撃者がvibe codingを使って偽のキャプチャやフィッシングページを生成でき、NetlifyやVercelではCI/CDパイプラインにAIコーディングアシスタントを簡単に統合して偽キャプチャページを量産できます」とTrend Microは述べています。

展開が容易で高度な技術が不要なことに加え、無料ホスティングによりフィッシング攻撃のコストが下がります。また、*.vercel.appや*.netlify.appで終わるドメインを使うことで、攻撃者はプラットフォームの信頼性を悪用できます。

「従来のフィッシングページとは異なり、AI生成のものは新しい技術的トリックを使うというより、スピードと規模で一段上を行っています」とDevroop Dhar氏（Primus PartnersのMD兼共同創設者）は述べています。「ブランド風のページを非常に短時間で作成・反復できます。以前はフィッシングサイトの作成に時間がかかりましたが、今では数分で多数のドメインに生成・複製できます。これにより攻撃の件数が増え、従業員が本物そっくりの偽ページを見る確率も高まります。」

Dhar氏はさらに、攻撃者がテンプレートを入手し、少し手を加えるだけで、プロフェッショナルに見えるフィッシングキットを簡単に作れるため、必要なスキルレベルも大幅に下がっていると指摘します。

Trend Microは、Vercel.app上で52件、Lovable.app上で43件、Netlify.app上で3件の悪意あるサイトを特定しました。Lovableが主な標的でしたが、現在はVercelがより多くの偽CAPTCHAページをホストしています。

攻撃の手口

これらのフィッシングキャンペーンは、最初はよくある手口を踏襲しています。被害者は通常、「パスワードのリセットが必要」や「USPS住所変更通知」など、緊急性の高い行動を促すスパムメールを受け取ります。

埋め込まれたリンクをクリックしても、ユーザーはすぐに認証情報を盗むサイトに誘導されるのではなく、一見無害なキャプチャ認証ページが表示されます。これにより被害者は正規のセキュリティチェックをしていると感じ、警戒心が薄れ、ページが偽物であることに気づきにくくなります。

また、自動スキャナーがページをクロールしてもキャプチャしか検出できず、裏にある認証情報収集フォームは見つけにくいため、詐欺が検知されにくくなるとTrend Microは指摘しています。

キャプチャを完了すると、被害者は実際のフィッシングページにリダイレクトされ、Microsoft 365の認証情報などの機密データが盗まれる可能性があります。

防御の強化

AI駆動のフィッシングキャンペーンが従来型のフィルターを突破する中、企業は防御策の見直しを進めています。パスキーやフィッシング耐性のある多要素認証（MFA）が特に金融やテック業界で注目されています。しかし、AI駆動のフィッシング攻撃の脅威に対抗するには、多層的なセキュリティ対策が必要です。

「現在最も効果的な戦略は、行動検知とプラットフォームの責任を組み合わせることです。ツールはクリックをシミュレートしリダイレクトを追跡できる必要があり、ホスティングプロバイダーは悪用を防ぐための安全策を構築しなければなりません」とSanchit Vir Gogia氏（Greyhound Research CEO兼主席アナリスト）は述べています。

しかし、検知だけでは十分ではありません。最終的な耐性は、フィッシング耐性のある認証によって盗まれた認証情報の価値自体を下げることにあります。Gogia氏は、組織はチェックボックス型の研修から現実的な没入型トレーニングに刷新すべきだと付け加えます。それには、CAPTCHAを前面にしたフィッシングシミュレーション、新規登録ドメインのブロックポリシー、IDログインの厳格な管理などが含まれます。目標はすべてのクリックを防ぐことではなく、インシデント発生から封じ込めまでの時間を短縮することです。

「ページが突然ログインフォームにリダイレクトされたり、信頼できないドメインからデータを取得し始めたりした場合は注意が必要です。こうしたパターンは攻撃者にとって隠しにくいものです。また、外部への通信にも目を光らせるべきです。ネットワークからデータが流出するのは、しばしば最初の兆候です」とDhar氏は付け加えます。

ユーザーの意識が最前線です。従業員に対し、不審なCAPTCHAチャレンジを見抜くこと、URLを確認してから操作すること、偽ページでは自動入力しないパスワードマネージャーを利用すること、異常を迅速に報告することが重要です。