B
今週中
ロシア語圏の攻撃者が、ジェイルブレイク(制限解除)したGoogle Geminiを利用して詐欺および資格情報窃取キャンペーンを展開しました
📌 一言でいうと
ロシア語圏の攻撃者が、ジェイルブレイク(制限解除)したGoogle Geminiを利用して詐欺および資格情報窃取キャンペーンを展開しました。攻撃者は米国の退役軍人を装い、Telegramチャンネルを通じてトランプ支持者や陰謀論者を標的にし、WordPressの管理者権限の奪取や暗号資産の窃取を行いました。この攻撃では、盗まれたGemini APIキーが大量に使用されていたことが報告されています。
🔍該当判定
- 社内で仮想通貨(暗号資産)のウォレットを管理・運用している
- WordPressで構築したWebサイトを運用しており、管理画面のパスワードが単純である
- Google GeminiのAPIキーを外部に公開したり、共有して利用したりしている
- 不特定多数が参加するTelegramチャンネルで、社外秘の情報や認証情報をやり取りしている
上記いずれにも該当しない → 静観でOK
✅該当時の対応
APIキーの厳格な管理と漏洩監視、多要素認証 (MFA) の導入、および不審なSNSアカウントからの誘導への警戒を推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】LLM(Gemini)を悪用した資格情報窃取キャンペーンについて
お疲れさまです。LLMを悪用した新たな攻撃手法に関する情報共有です。
■ 概要
ロシア語圏の攻撃者が、制限を解除(ジェイルブレイク)したGoogle Gemini APIを利用し、ソーシャルエンジニアリングと資格情報窃取を行うキャンペーンが確認されました。盗まれたAPIキーを用いて攻撃を自動化し、WordPressの管理者権限奪取や暗号資産の窃取に至っています。
■ 影響範囲
- APIキーの管理が不十分な組織
- WordPress等のCMSを利用しているサイト管理者
■ 対応手順
1. 組織内で利用しているLLM APIキーの漏洩確認およびローテーションの実施
2. 管理画面への多要素認証 (MFA) の強制適用
3. 従業員へのソーシャルエンジニアリング(なりすまし)に対する注意喚起
■ 参考情報
- TrendAI Threat Report
対応優先度: 中
対応期限: 次回定期メンテナンスまで
お疲れさまです。LLMを悪用した新たな攻撃手法に関する情報共有です。
■ 概要
ロシア語圏の攻撃者が、制限を解除(ジェイルブレイク)したGoogle Gemini APIを利用し、ソーシャルエンジニアリングと資格情報窃取を行うキャンペーンが確認されました。盗まれたAPIキーを用いて攻撃を自動化し、WordPressの管理者権限奪取や暗号資産の窃取に至っています。
■ 影響範囲
- APIキーの管理が不十分な組織
- WordPress等のCMSを利用しているサイト管理者
■ 対応手順
1. 組織内で利用しているLLM APIキーの漏洩確認およびローテーションの実施
2. 管理画面への多要素認証 (MFA) の強制適用
3. 従業員へのソーシャルエンジニアリング(なりすまし)に対する注意喚起
■ 参考情報
- TrendAI Threat Report
対応優先度: 中
対応期限: 次回定期メンテナンスまで
Subject: [Intel] Credential Theft Campaign leveraging Jailbroken Gemini LLM
Hi team,
We are sharing information regarding a recent campaign where a threat actor utilized a jailbroken Google Gemini LLM to automate fraud and credential theft.
■ Overview
A Russian-speaking actor (bandcampro) used stolen Gemini API keys to bypass safety filters, impersonate trusted figures on Telegram, and steal WordPress admin credentials and cryptocurrency.
■ Scope
- Organizations with poorly managed LLM API keys
- Administrators of WordPress-based sites
■ Mitigation Steps
1. Audit and rotate LLM API keys to ensure no unauthorized access.
2. Enforce Multi-Factor Authentication (MFA) on all administrative interfaces.
3. Increase monitoring for social engineering attempts targeting employees.
■ Reference
- TrendAI Threat Report
Priority: Medium
Deadline: Next scheduled maintenance
Hi team,
We are sharing information regarding a recent campaign where a threat actor utilized a jailbroken Google Gemini LLM to automate fraud and credential theft.
■ Overview
A Russian-speaking actor (bandcampro) used stolen Gemini API keys to bypass safety filters, impersonate trusted figures on Telegram, and steal WordPress admin credentials and cryptocurrency.
■ Scope
- Organizations with poorly managed LLM API keys
- Administrators of WordPress-based sites
■ Mitigation Steps
1. Audit and rotate LLM API keys to ensure no unauthorized access.
2. Enforce Multi-Factor Authentication (MFA) on all administrative interfaces.
3. Increase monitoring for social engineering attempts targeting employees.
■ Reference
- TrendAI Threat Report
Priority: Medium
Deadline: Next scheduled maintenance