サイバー攻撃者向けAIチャットbotが続々登場 Google レンズと連携されるものも

サイバー攻撃者が自身のビジネスに悪用できる生成AIツールを開発し始めている。SlashNextの調査から、これらのツールがどのような機能を備えているかが明らかになった。

[後藤大地，有限会社オングス]

　セキュリティ企業のSlashNextは2023年8月1日（現地時間、以下同）、「WormGPT」や「FraudGPT」「DarkBART」「DarkBERT」といったサイバー攻撃者向けの生成AI（人工知能）チャットbotがダークWebで出回っていると指摘した。これらのツールは「ChatGPT」に類似した技術を使って開発されているものとみられる。

　同社は2023年7月25日、FraudGPTがハッキングフォーラムで販売されていると報じていたが、短い期間で多くの亜種が登場していることが明らかになった。

SlashNextはサイバー攻撃者向けの生成AIチャットbotについて解説した（出典：SlashNextのWebサイト）

DarkBERTの開発者を名乗る人物が語る機能の詳細は？

　サイバー攻撃者が生成AIツールを、ビジネスメール詐欺（BEC）やマルウェアコードの生成などに悪用する動きは以前からあった。しかし2023年7月に入ってからは攻撃者自身が生成AIを開発し、サービスとして提供する新たな動きが出てきている。

　SlashNextは、FraudGPTを宣伝している「CanadianKingpin12」という人物に購入を持ち掛け、製品の詳細を調査した。これによると、CanadianKingpin12は、DarkBARTとDarkBERTという2つのbotを開発中だとしている。DarkBARTとDarkBERTは「Google レンズ」とシームレスな統合が可能で、画像を伴うテキストの送信もできるという。

　一方でCanadianKingpin12は、DarkBERTについては「アクセスできるだけだ」とも主張している。SlashNextの調査によると、データインテリジェンス企業のS2Wが同名の言語モデルを作成していた。つまり、CanadianKingpin12は、S2Wの「DarkBERT」を自身の作成物であるかのように誤解を招きながら悪用している可能性がある。

　SlashNextによると、CanadianKingpin12はDarkBERTについて以下の機能を備えていると主張しているいう。

• 高度なソーシャルエンジニアリング攻撃の実行支援
• 重要なインフラストラクチャを含むシステムの脆弱（ぜいじゃく）性を悪用
• ランサムウェアを含むマルウェアの作成と配布
• 個人情報を盗むための高度なフィッシングキャンペーンの展開
• ゼロデイ脆弱性に関する情報をエンドユーザーに提供

　SlashNextは「これらの機能はサイバー攻撃への参入障壁を下げる。開発者からこのツールのAPIが提供されれば、攻撃者のワークフローやコード作成プロセスが大幅に簡素化される。このような進歩は大きな懸念を引き起こす可能性がある」と危惧している。

　同社はこれらの脅威への対策として、BEC固有のトレーニングを従業員に提供し、攻撃の性質とAIの役割を教育する必要があるとした他、厳格なプロセスやキーワードのフラグ設定など、電子メール検証手段を強化することが重要だと指摘した。