『ChatGPT』関連アドレスの25件に1件は偽サイトの疑いあり? セキュリティ会社が注意を呼びかけ

 今年に入ってから急速に広まった『ChatGPT』。AIを活用した便利なサービスが増え、その恩恵を享受する人、あるいはちょっとした“壁打ち”に利用したりと、その使い方は人によって様々だろう。一方で、それらサービスの大本であるOpenAI社の『ChatGPT』に偽装した悪意あるWEBサイトが増えており、関連アドレスの25件に1件はマルウェアのダウンロードを誘導している可能性があるという。

 サイバーセキュリティに関するソリューションを提供する企業、チェック・ポイント・ソフトウェア・テクノロジーズ(以下、チェック・ポイント社)は、米国OpenAI社が開発・提供する生成系AI「ChatGPT」との関連を偽装した悪意あるサイトを通じ、マルウェア配布が急増していることを確認、注意喚起のリリースを発表した。

 同社の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(Check Point Research、以下CPR)によれば、『ChatGPT』関連ドメインを装うWEBサイトを通じたマルウェア配布の急増が確認されたという。2023年初頭以降、新規の『ChatGPT』関連ドメインの25件に1件が、悪意ある、または悪意の疑いがあるドメインであるとのことだ。

 もちろん、すべての関連ドメインが危険というわけではないが、サイバー犯罪に巻き込まれないためにも改めて注意が必要だろう。

 CPRは、ChatGPTを模倣して悪意あるファイルのダウンロードをユーザーに促すWEBサイトの事例を紹介、類似WEBサイトへのアクセスを控えるよう注意を促している。同社はリリースで下記のように述べている。

「CPRは、『ChatGPT』のWEBサイトになりすましてユーザーを誘い込み、悪意あるファイルのダウンロードや、機密情報の開示を促す意図を持つ攻撃キャンペーンを多数確認しました。このような攻撃の試みは過去数カ月間で着実に増加しており、こうした悪意ある『ChatGPT』偽装WEBサイトへのアクセス数は数万回にも及んでいます。

 2023年初頭から4月末までの間にChatGPTやOpenAIに関連して13,296件のドメインが新たに作成され、そのうち25件に1件は悪意があるか、または悪意の疑いがあるドメインでした」

偽のドメイン(アドレス)はどんなもの?

 フィッシング詐欺で最もよく用いられる手法のひとつに、類似ドメイン・偽ドメインの使用がある。これは、似たようなアドレスや見間違いを誘因する文字列によってユーザーを騙す手口だ。たとえばフィッシングメールでは、「boss@company.com」という電子メールアドレスの代わりに「boss@cornpany.com」というアドレスが使われる。

 よくよく見てみると、アドレス内の「m」が「rn」に置き換えられていることがわかるだろう。こうしたメールは、一見すると本物のように見え、気付きづらいことも多い。しかし、こうした“偽のアドレス”は攻撃者のコントロール下にある可能性が高い、全く別のドメインから送られている。『ChatGPT』の場合ではどうだろう。以下は、チェック・ポイント社が確認した悪質なWEBサイトの例だ。

安全のために画像で表示しています。(編集部)

 被害者がこれらの悪意あるリンクをクリックすると、以下の画像のような悪意あるWEBサイトにアクセスすることとなり、さらなる攻撃にさらされる可能性があるという。正規のページと並べたので、比較してみてほしい。『ChatGPT』はブラウザで動作するサービスのはずだが、偽サイトは“何か”をダウンロードさせようとしてくる。

 また同社はフィッシング詐欺の可能性が疑われる場合にすべきこと、すべきでないことも改めて注意喚起している。

フィッシング攻撃が疑われる場合にすべきこと、すべきでないこと

●返信やリンクのクリック、添付ファイルの開封をしない
第一に、フィッシング犯の望み通りに行動しないこと。メールに疑わしいリンクや添付ファイル、返信の要求がある場合、クリックやファイルの開封、返信は厳禁。

●ビジネスメールであれば、フィッシングメールをIT部門やセキュリティチームに報告する
一般に、個々のフィッシング攻撃は「分散型攻撃」、つまり特定の対象を選ばず無作為に送信されていることがほとんど。自分が被害に遭ったからと言って、他の全員がすでに被害に遭っているとは限らない。フィッシングメールを受信した際は即座にIT部門やセキュリティチームに報告しよう。それによりできる限り迅速な調査の開始と、社内への注意喚起などダメージコントロールが可能となる。

●疑わしいメールは削除する
しかるべき部署への報告、あるいは信頼できる友人・知人へ相談したら、疑わしいメールは受信ボックスから削除しよう。あとから誤ってクリックしてしまう可能性が低くなる。

●注視すること。そして類似ドメインや偽ドメインに注意すること
もしリンクをクリックする際は、本文やWEBサイト内の言葉遣いやスペル、コンテンツに十分注意を払うこと。ささやかなスペルミスや、ファイルのダウンロードを要求するコンテンツなどにはとくに注意をはらおう。

 昨今は『ChatGPT』関連サービスが“雨後の筍”のごとく登場している。様々なサービスを試してみたい、『ChatGPT』と会話してみたいと興味関心を寄せている読者の方もいるだろう。サイバー犯罪に巻き込まれないためにも、今一度セキュリティ対策には気をつけてもらいたい。

 また、リアルサウンドでは過去にAmazonや楽天などのECサイト、フィッシングメール・SMSの実例とその対策を紹介した記事を掲載している。そちらも参考にしていただき、安全かつ便利なサービスの利用に寄与できれば僥倖だ。

Amazon、楽天になりすまし……巧妙すぎる最近のフィッシング詐欺、その実例と対策方法を紹介

実在の企業やサービスを装ったメールを送付し、偽サイトのログインページに誘導してアカウントを乗っ取る「フィッシング詐欺」。近年、そ…

関連記事