C
月内に
Googleの脅威情報チーム(GTIG)は、中国語圏のフィッシング・アズ・ア・サービス(PhaaS)プラットフォームがAIを活用して偽サイトを自動生成し…
📌 一言でいうと
Googleの脅威情報チーム(GTIG)は、中国語圏のフィッシング・アズ・ア・サービス(PhaaS)プラットフォームがAIを活用して偽サイトを自動生成し、検知を回避していると警告しました。これらのプラットフォームは、静的なテンプレートではなくAIを用いて合法的なサイトを動的に複製し、OTP(ワンタイムパスワード)のリアルタイム傍受やクレジットカード情報の窃取を行っています。また、ドメイン登録やVPS、マネーロンダリングまでを含む成熟した犯罪サプライチェーンを構築しており、世界的な脅威となっています。
🔍該当判定
- 社員が、社外から届いたメールのリンク先で「社内システムやクラウドサービスのログイン画面」に入力する機会がある
- クレジットカード決済や、SMSによるワンタイムパスワード(OTP)認証を業務で利用している
- 自社でWebサイトを公開しており、そのサイトを模倣した偽サイト(フィッシングサイト)が作成されるリスクがある
上記いずれにも該当しない → 静観でOK
✅該当時の対応
1. 多要素認証(MFA)において、SMSやOTPなどの静的コードではなく、FIDO2準拠の物理キーや認証アプリなどの耐フィッシング認証の導入を検討してください。
2. AI生成による動的な偽サイトが増加しているため、URLのドメイン名だけでなく、証明書の確認や不審なリダイレクトへの注意を徹底してください。
3. 社員に対し、最新のフィッシング手法(OTPのリアルタイム窃取など)に関する教育を実施してください。
📧 メール案を見る (社員向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】巧妙な偽サイト(フィッシング)への注意について
お疲れさまです。情報システム担当です。
最近、AIを利用して本物のサイトと見分けがつかないほど精巧な偽サイトを自動的に作成し、パスワードや認証コードを盗み出す攻撃が増加しています。
ご協力をお願いしたいこと:
1. メールやSNSで届いたリンクを安易にクリックせず、公式サイトのブックマークや正規のアプリからアクセスするようにしてください。
2. 万が一、ログイン画面で「ワンタイムパスワード(OTP)」や「認証コード」の入力を求められ、心当たりがない場合は、すぐに社内のセキュリティ担当へ報告してください。
3. 不審なメールやサイトを見つけた際は、決して個人情報やパスワードを入力しないでください。
対応期限: 本日中(確認および意識徹底をお願いします)
お疲れさまです。情報システム担当です。
最近、AIを利用して本物のサイトと見分けがつかないほど精巧な偽サイトを自動的に作成し、パスワードや認証コードを盗み出す攻撃が増加しています。
ご協力をお願いしたいこと:
1. メールやSNSで届いたリンクを安易にクリックせず、公式サイトのブックマークや正規のアプリからアクセスするようにしてください。
2. 万が一、ログイン画面で「ワンタイムパスワード(OTP)」や「認証コード」の入力を求められ、心当たりがない場合は、すぐに社内のセキュリティ担当へ報告してください。
3. 不審なメールやサイトを見つけた際は、決して個人情報やパスワードを入力しないでください。
対応期限: 本日中(確認および意識徹底をお願いします)
Subject: [Security Alert] Beware of Sophisticated AI-Powered Phishing Sites
Hi everyone,
Our security team wants to alert you to a rise in highly sophisticated phishing attacks. Attackers are now using AI to create fake websites that look identical to legitimate ones to steal passwords and authentication codes.
What we need you to do:
1. Avoid clicking links in emails or messages. Instead, use your browser bookmarks or official apps to access services.
2. If you are prompted to enter a One-Time Password (OTP) or verification code on a site you didn't expect to visit, stop immediately and report it to the security team.
3. Never enter your credentials or personal information on a suspicious website.
Deadline: Immediate (Please review and stay vigilant)
Hi everyone,
Our security team wants to alert you to a rise in highly sophisticated phishing attacks. Attackers are now using AI to create fake websites that look identical to legitimate ones to steal passwords and authentication codes.
What we need you to do:
1. Avoid clicking links in emails or messages. Instead, use your browser bookmarks or official apps to access services.
2. If you are prompted to enter a One-Time Password (OTP) or verification code on a site you didn't expect to visit, stop immediately and report it to the security team.
3. Never enter your credentials or personal information on a suspicious website.
Deadline: Immediate (Please review and stay vigilant)