AI搭載Webサイト生成サービス「Lovable」が犯罪の温床に？ 悪用事例まとめ：セキュリティニュースアラート

ProofpointはAI搭載Webサイト生成サービス「Lovable」がサイバー犯罪に利用されている実態を明らかにした。Lovableは自然言語によるプロンプト入力でWebサイトを生成できるが、その手軽さ故に犯罪利用が進んでいるという。

[後藤大地，有限会社オングス]

　Proofpointは2025年8月20日、AIを利用したWebサイト生成サービスがサイバー犯罪に悪用される事例について詳細な調査結果を公表した。

　攻撃者は「Lovable」というAI搭載型Webサイトビルダーを使い、フィッシングサイトやマルウェア配布サイトを短時間で作成し、多数の攻撃キャンペーンに活用していたことが報告されている。

AIを使ったWebサイト無料作成サービスが犯罪の温床に

　Lovableは自然言語によるプロンプト入力だけでWebサイトを生成できるサービスだ。1日5プロンプトまで無料でサービスを利用できる。ユーザーは数分で完成度の高いWebサイトを構築できるが、その手軽さによって悪用される温床となっている。特に無料アカウントで作成されているWebサイトは、第三者が容易にコピーや改変できる仕様となっており、犯罪利用を後押ししている。

　Proofpointは2025年2月以降、毎月数万件規模のLovableの関連URLを脅威として検知している。観測した攻撃の中にはフィッシング・アズ・ア・サービス（PhaaS）「Tycoon 2FA」を利用した多要素認証情報の窃取、UPSを装った個人情報収集、暗号資産ウォレットのドレイナー配布、マルウェア感染を目的とした偽のダウンロードサイトなどが含まれていた。これらの攻撃ではCAPTCHAで自動検知を回避し、窃取した情報を「Telegram」に送信する仕組みが確認されている。

　具体的な事例として、2025年2月にはファイル共有通知を装い、5000以上の組織に影響をおよぼした大規模な認証情報フィッシングが発生している。この攻撃ではLovableで作成したWebサイトがMicrosoftを偽装し、認証情報やセッションクッキーを収集していた。また、2025年6月にはUPSブランドを偽装したWebサイトが発見され、支払い情報やSMSコードを含む個人データが窃取されていた。この攻撃に利用されているテンプレートは再利用可能な状態で公開されており、別のブランドに差し替えた攻撃の迅速な展開が可能になっていた。

　暗号資産関連では分散型金融（DeFi）プラットフォーム「Aave」を偽装した攻撃が確認されている。約1万件のメッセージが送信され、被害者を偽のウォレット接続ページに誘導し、資産窃取を狙ったとみられる。また、ドイツ語の攻撃キャンペーンでは正規ソフトウェアを装い、Lovableで生成したダウンロードページからトロイの木馬化されているファイルを配布し、zgRATを稼働させるケースも特定されている。

　LovableはProofpointの報告を受けて、数百の不正サイトを削除している。この他、2025年7月からAI駆動のセキュリティ対策を導入している。この仕組みにより、悪意あるプロンプトを入力段階で検知し、公開されているプロジェクトを自動的にスキャンすることで不正利用を阻止できるようにしている。2025年秋にはアカウントレベルでのセキュリティ強化を進め、悪意あるユーザーを事前に排除する方針が示されている。

　ProofpointはAIツールがサイバー攻撃に与える影響について、参入障壁を下げる要因となっていると指摘している。従来はWeb開発の知識や時間が必要だったフィッシングサイトの作成がAIサービスによって短時間で可能となり、攻撃者は他の要素に注力できる状況が生まれている。ツール提供者は悪用防止のための仕組みを組み込み、企業側もこうしたサービスの利用を適切に制御することが必要とされている。