C
月内に
Palo Alto Networksの研究者が、LLM(大規模言語モデル)が生成する「存在しないドメイン」を攻撃者が先回りして登録する「Phantom…
📌 一言でいうと
Palo Alto Networksの研究者が、LLM(大規模言語モデル)が生成する「存在しないドメイン」を攻撃者が先回りして登録する「Phantom Squatting」という手法を発見しました。AIがハルシネーション(幻覚)によって実在しないURLを提示した際、ユーザーがそのリンクをクリックすると、攻撃者が用意したフィッシングサイトやマルウェア配布サイトに誘導される恐れがあります。調査では、AIが提示したリンクのうち既に1万件以上が有害であり、さらに約25万件のドメインが登録可能であったことが判明しました。
🔍該当判定
- ChatGPTやClaudeなどのAIツールを、業務上のツール探しやサイト検索に利用している
- AIが提示したURLを、内容を確認せずに直接クリックしてアクセスする習慣がある
- 社内でAIツールを利用する際の「URLの正当性確認」に関するルールや注意喚起を運用していない
上記いずれにも該当しない → 静観でOK
✅該当時の対応
AIが提示したURLを盲信せず、アクセス前にドメインの正当性を確認すること。また、不審なサイトへのアクセスを制限するWebフィルタリングやDNSセキュリティの導入を推奨します。
📧 メール案を見る (社員向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】AIが提示するURLの取り扱いについて
お疲れさまです。情報システム担当です。
ChatGPTなどのAIツールを利用している際、AIが実在しないURLを「正解」として提示し、そこを攻撃者が悪用して偽サイトを設置するケースが報告されています。
ご協力をお願いしたいこと:
1. AIが提示したリンクをクリックする際は、送信元やドメイン名が正しいか十分に確認してください。
2. リンク先でパスワードの入力やファイルのダウンロードを求められた場合は、絶対に応じず、すぐに情報システム担当までご連絡ください。
対応期限: 本日より継続的に注意してください
お疲れさまです。情報システム担当です。
ChatGPTなどのAIツールを利用している際、AIが実在しないURLを「正解」として提示し、そこを攻撃者が悪用して偽サイトを設置するケースが報告されています。
ご協力をお願いしたいこと:
1. AIが提示したリンクをクリックする際は、送信元やドメイン名が正しいか十分に確認してください。
2. リンク先でパスワードの入力やファイルのダウンロードを求められた場合は、絶対に応じず、すぐに情報システム担当までご連絡ください。
対応期限: 本日より継続的に注意してください
Subject: [Security Alert] Caution Regarding URLs Provided by AI Tools
Dear employees,
It has been reported that attackers are registering fake domains that are 'hallucinated' by AI tools (like ChatGPT) to lead users to phishing sites or malware.
Requested Actions:
1. Always verify the legitimacy of a URL provided by an AI tool before clicking it.
2. If a site asks for your password or prompts you to download a file unexpectedly, do not proceed and report it to the IT security team immediately.
Deadline: Ongoing awareness required
Dear employees,
It has been reported that attackers are registering fake domains that are 'hallucinated' by AI tools (like ChatGPT) to lead users to phishing sites or malware.
Requested Actions:
1. Always verify the legitimacy of a URL provided by an AI tool before clicking it.
2. If a site asks for your password or prompts you to download a file unexpectedly, do not proceed and report it to the IT security team immediately.
Deadline: Ongoing awareness required