AIはビジネスや個人利用、医療分野などにおいて成果を上げている一方で、その能力がセキュリティ上のリスクとなる可能性も指摘されている。
ID認証サービスを提供するOktaの研究チームは米国時間7月1日、VercelのAIウェブサイト生成ツール「v0」が悪意ある第三者によって悪用され、テキストプロンプトを用いて本物のログインページに酷似したフィッシングサイトが作成されているとする調査結果を公表した。攻撃者は、Okta自身のログインページだけでなく、「Microsoft 365」、複数の暗号資産関連企業、Oktaの顧客サイトも複製していたという。
Oktaは、ハッカーが複製した企業ロゴなどの素材をVercelのインフラ上に保存することで、フィッシングサイトをより本物らしく見せかけていたと指摘している。報告書では、これが「CDNログからの抽出や、既知の悪意あるインフラとは異なる場所でのホスティングによって、検出を回避しようとする試み」であると説明されている。
同社の研究者らは、今回の事例を動画で再現し、「生成AIがサイバー攻撃に利用される新たな段階に入った」と警鐘を鳴らしている。報告書では、AIツールがハッカーの攻撃を前例のない規模で拡大させる手段となっていることが指摘されている。Okta Threat Intelligence担当バイスプレジデントのBrett Winterford氏はAxiosに対し、フィッシングメールだけでなく、攻撃の基盤そのものの構築にAIが使われているのを確認したのは初めてだと語った。
Vercelのv0はプロプライエタリーなツールであるものの、「GitHub」上にはその機能を模倣した多数のオープンソースのクローンが公開されているという課題がある。報告書では、こうしたオープンソースの広がりが、高度なフィッシング手法を誰でも使える状態にし、攻撃者にとってインフラ構築を容易にしていると警告している。
この報告を受けて、Vercelは偽造されたウェブサイトへのアクセス制限を実施し、今後の対応に向けてOktaと連携を進めている。報告書では、現時点でハッカーが認証情報の取得に成功したことを示す証拠は確認されていないと述べられている。
今回の発見は、Oktaにとってセキュリティトレーニングの在り方を根本的に見直す契機となり、AIの進化が脅威への対応を一層困難にしている現実を浮き彫りにしている。報告書では、「もはや、ユーザーに対して正規サービスの不完全な模倣を見抜く方法を教えるだけでは十分ではない」と指摘されており、「唯一信頼できる防御策は、ユーザーの認証器を、事前に登録された正規のサイトと暗号学的に結びつけることだ」と強調されている。
こうした防御策の中核をなすのが、Okta自身の製品である「FastPass」である。Oktaは、顧客企業に対して自社製品の導入を促すだけでなく、AIによって生成される攻撃に特化した従業員向けトレーニングの実施や、ユーザーアカウントへのアクセスを信頼できるデバイスに限定するよう管理者に推奨している。さらに、同社は「Network Zones」や「Behavior Detection」といったツールを活用し、「ステップアップ認証」の導入も重要な対策として挙げている。
AIによるサイバーセキュリティ上の脅威が今後も拡大する中、セキュリティ専門家は、ゼロトラストアーキテクチャーの導入、従業員によるAIツールの利用に対する適切な制限、そして社内リソースだけでは対応が難しい場合には、最新の知識を持つ外部の専門家への相談を推奨している。
パスキーをまだ導入していないのであれば、今がその導入を検討する絶好のタイミングだ。OktaはFastPassの機能の一部としてパスキーを採用している。その大きな利点は、仮に攻撃者がウェブサイトに侵入したとしても、デバイスに保存された鍵にはアクセスできず、アカウントの安全が保たれる点にある。
提供:Peter-verreussel/Getty Images
この記事は海外Ziff Davis発の記事を朝日インタラクティブが日本向けに編集したものです。
