C
月内に
AI(大規模言語モデル)が実在しないドメインを捏造して提示する「ハルシネーション」を悪用した「ファントム・スクワッティング」という攻撃手法
📌 一言でいうと
AI(大規模言語モデル)が実在しないドメインを捏造して提示する「ハルシネーション」を悪用した「ファントム・スクワッティング」という攻撃手法が確認されました。攻撃者はAIが生成した架空のドメインを先回りして登録し、そこにフィッシングページを設置することで、AIの回答を信頼してアクセスしたユーザーを標的にします。Palo Alto NetworksのUnit 42による調査では、AIが提示した大量のリンクの中に、既に悪意のあるドメインや未登録のドメインが多数含まれていることが判明しました。
🔍該当判定
- ChatGPTやClaudeなどのAIツールを、業務上のリサーチやURL検索に日常的に利用している
- AIが提示したURLを、ドメインの正当性を確認せずにそのままクリックしてアクセスする習慣がある
- 社内でAIツールを導入しており、社員がAIの回答にあるリンク先を信頼して情報を収集している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
AIが提示したURLを盲信せず、アクセス前にドメインの正当性を確認すること。また、不審なサイトで資格情報を入力しないよう社員教育を徹底してください。
📧 メール案を見る (社員向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】AIが提示するURLの取り扱いについて
お疲れさまです。情報システム担当です。
最近、AI(ChatGPTなどのチャットツール)が「実在しない嘘のURL」を提示し、そこを悪用してウイルス感染やパスワード盗難を狙う攻撃が確認されています。
ご協力をお願いしたいこと:
1. AIが提示したリンクをクリックする際は、公式サイトであるか慎重に確認してください。
2. リンク先のサイトで、パスワードや個人情報の入力を求められた場合は絶対に入力せず、すぐに情報システム担当へ報告してください。
対応期限: 本日より継続的に注意してください
お疲れさまです。情報システム担当です。
最近、AI(ChatGPTなどのチャットツール)が「実在しない嘘のURL」を提示し、そこを悪用してウイルス感染やパスワード盗難を狙う攻撃が確認されています。
ご協力をお願いしたいこと:
1. AIが提示したリンクをクリックする際は、公式サイトであるか慎重に確認してください。
2. リンク先のサイトで、パスワードや個人情報の入力を求められた場合は絶対に入力せず、すぐに情報システム担当へ報告してください。
対応期限: 本日より継続的に注意してください
Subject: [Security Alert] Handling URLs Provided by AI Tools
Hi everyone,
We would like to alert you to a new threat where attackers exploit 'hallucinated' (fake) URLs generated by AI tools to lead users to phishing sites or malware.
What we need from you:
1. Be cautious when clicking links provided by AI assistants; verify the domain before proceeding.
2. Never enter your passwords or personal information on a site you reached via an AI-generated link if it seems suspicious.
Please remain vigilant starting today.
Hi everyone,
We would like to alert you to a new threat where attackers exploit 'hallucinated' (fake) URLs generated by AI tools to lead users to phishing sites or malware.
What we need from you:
1. Be cautious when clicking links provided by AI assistants; verify the domain before proceeding.
2. Never enter your passwords or personal information on a site you reached via an AI-generated link if it seems suspicious.
Please remain vigilant starting today.