いやあ、よくできてますね。
何かが話題になると、サイバー犯罪者は必ず便乗する。偽サイトなどを用意して、流行に乗り遅れまいとする人たちをフィッシング詐欺やマルウエア(悪意のあるプログラム)感染の犠牲者にする。
現在サイバー犯罪者が最も注目しているのは、もちろん対話型の生成AI(人工知能)「ChatGPT(チャットGPT)」だ。これだけ話題になると「ChatGPTとは何か知りたい」「ChatGPTを使ってみたい」という人が続出...
そりゃそうか、と。
これだけ話題となる、魅力的なサービスが生まれたからには、利用してマルウェアをたくさんの人の端末に忍び込ませようと考えますよね。
自分は引っかからないよ、と考える人は甘いです。
今回だと、偽ECサイトよりも厄介だと思います。というのも、ChatGPTのサービス自体は、APIを使えば別サービスからでも取り込めるからです。
本当にChatGPTのサービスを埋め込んで、AIと会話が楽しめるサイトを作り上げつつ、その枠組みの中で、こっそりユーザーの端末にマルウェアをインストールさせるということが簡単なことは私でも想像できます。
「AIをより高度に利用するために、プラグインをインストールしてください」とかなんとか言って実行ファイルをダウンロードさせ、端末にインストールさせれば攻撃者の思うがままです。
ユーザーは実際にChatGPTでのサービスを楽しみますから、自分が感染したことなんてわかりやしません。マルウェアを導入したら、あとは攻撃者はその端末の資源を使ってあらゆる事ができますから、そこを踏み台に周辺のファイルサーバーをつつきにいく。会社ならそうするでしょうね。
もしくは、今はモバイルノートパソコンが普及してますから、自宅で感染し、それを会社に持ち込む。会社のネットワークにマルウェア経由で攻撃者が入り込めたら、後は世間でよくあるランサムウェア被害の始まり・・ですね。
最近マルウェアが入り込むメディアとして最も可能性が高いのがメールです。メール経由でリンクを押させ、そこからフィッシングサイトに誘導しファイルをダウンロードさせるというやり方が、一番シェアが高い誘導方法だと思います。
ChatGPT絡みの偽サイトは、きっとログイン情報を作るときにメールアドレスを入手し、そのメールアドレス認証をさせる際にメールを送るでしょうから、その後そのメールの中に小細工することは安易に想像できます。
最近は、フィッシングサイト構築側の技術が相当高度化していて、それなら普通に商売すれば儲かるんじゃないの・・と思うくらいです。そこにChatGPTの機能が用いられて十分サービスとして成り立つのであれば、利用者は全く気づかないだろうな。
そういえば、良からぬ噂を聴いたのですが、Web広告でChatGPTサービスを装いながら、飛んだ先がフィッシングサイト、という事例もあるそうです。また、スマホのアプリ経由で同様のことをしようとする例もあるらしいです。AIアプリと言っておいて、マルウェアを仕込もうとするんだとか。
メールだけではなくあの手この手で、ChatGPTの魅力を使ってフィッシングサイトに誘導しようとします。今問題なのは、ChatGPTそのものの問題より、それを模倣したり利用したりして、トラブルに巻き込もうとする攻撃者の存在だと思います。
とにかく、ダウンロードさせるような類のイベントは、全部怪しいと思って対処するしかないですね。
