ESET/サイバーセキュリティ情報局

偽AIボットの疑いとその痕跡を辿る

  • この記事をはてなブックマークに追加
  • 本文印刷

本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「偽のAIボットがマルウェアをインストールする仕組み」を再編集したものです。

 AI開発の競争が激化する中、最先端の技術や進歩に後れを取らないように、多くの人がAIについて理解を深めようとしている。一方で、こうしたトレンドを悪用したサイバー犯罪は全盛期を迎えている。

 筆者がFacebookのフィードを眺めていると、「Google Bard AI」の広告を見かけた。Googleが正規に提供しているAIツール「Bard」の最新バージョンをダウンロードして、試してみるよう薦めるものだった。

 最初に怪しいと感じたのは、短縮URLにGoogleのドメインが含まれておらず、rebrand.lyがリンクされていた点だ。これはアイルランドのダブリンに本拠を持つ企業のサービスであり、Googleの関連企業には見えなかった。Googleのような大手テック企業が他社のサービスを利用するのは不思議に思え、私の疑念は深まった。信じがたいことに、広告の文言は英語が母国語でない筆者が見ても、あの非常に紛らわしい内容を誰も校正していない事は明らかだった。

Facebookに表示された偽の広告

=======================
Google Bard AI
最新のバージョンが全世界に公開され、多言語でAIが利用できるようになりました。次世代のユーザー体験がもたらされます。特に、注目を集める熱狂的なマーケティングコンテンツを作成できるでしょう。
無料のトライアル⇒ https://rebrand.ly/G-AIUp
時間単位のAI技術開発
=======================

ボットの疑い

 詐欺の可能性を追求するために、広告の下部にあるコメント欄を確認した。驚いたことに、誰もがその「アプリ」を気に入っているようだった。単に「アプリ」と呼ぶには正しくないように思えたが、中には「AI」を絶賛する者もおり、Googleに関してはほとんど誰も言及していなかった。コメントで「5つ星の評価」を与える人さえいた。さらに不思議なことに、コメントした全員が同時にアプリをダウンロードしていたのだ。筆者が確認した「6時間前」にあたる、まったく同じタイミングでコメントを書き込んでいたため、疑念は増すばかりだった。

同時に書き込まれた全コメント

=======================
Otmar
ネット上で記事を見かけた後、アプリを使ってみました。ダウンロードして、何日か試してみたけど、とても面白いものでした。 いいね! 返信 6時間前

Abelardo
このアプリは人の役に立つと思います。よく学習された機能であり、感情に訴えるコンテンツにも利用可能です。よく理解できる、優れたアプリです。ただ、アプリを使っていると、2021年以前の情報については不正確だったり、人の感情を表現している簡単な文章を処理できなかったりと、単純なエラーも見受けられました。これらの問題への対応が十分ではないと思います。全体としては、次世代的で、とても有用なアプリです。
いいね! 返信 6時間前

Josue
AIが出力した回答は素晴らしいものでした。AIは有用で、とても面白く、このアプリに5つ星を与えたいです。驚くほど高機能で感動しました。素晴らしい。
返信 6時間前

Sergio
皆さん、このGoogle AIは勉強にとても役立ちます。質問に対し、わずか数秒で多くの情報を回答してくれます。
返信 6時間前

Sabdiel
このアプリは、以前使っていたものよりも洗練されています。教えてくれて、ありがとう(学生より)
返信 6時間前

Melanie
このアプリはすごい。学生としては、宿題を助けてくれる必須の存在です。このアプリをダウンロードすることをおすすめします。
いいね! 返信 6時間前

Juan
勉強を助けてほしい人は、このアプリがかなりの助けになります。とても気に入っています。特に、スピーチに関する情報に驚かされました。アプリをインストールして間違いありません。
いいね! 返信 6時間前
=======================

痕跡をたどる

 より詳しく調査するため、セキュリティ的に保護された環境でリンクを試すことにした。まずVirusTotalと呼ばれるファイルやウェブサイトのマルウェア検査を行うサービスでrebrandlyのリンクを検証したところ、悪意のあるWebサイトだと判断したのは、90社中3社であった。指針にはなるが、誤判定の可能性もあるため、確証は持てない。

 そこで、匿名化Webブラウザーを使ってリンクを開いてみた。実際にGoogleのWebサイトへ遷移したので、匿名化Webブラウザーを使用したのは良い判断だったと言える。

「hxxps://sites.google.com/view/12345328?fbclid=IwAR2V87sG77nklWVC1tLS-R-fjrL_nNNDhjtDorxKHkN56g8oNVV09Edjgwo」

 筆者が普段使用しているWebブラウザーからこのWebサイトにアクセスしていた場合、Chromeに筆者のGoogleアカウントが紐づいているので、個人情報がサイバー犯罪者によって過剰に詐取されていただろう。

 このWebサイトはGoogleのクラウド環境で公開されているものの、もちろんそのコンテンツ自体はGoogleとは何の関連もない。さらに、ここで疑わしい兆候がいくつも見受けられた。第一に、Webブラウザーのタブに表示されたページタイトルには、「Trang chủ(ベトナム語で「ホームページ」)」とあった。加えて、Webサイトに記載された文言が、ネイティブ、あるいは流暢な英語レベルの人によって書かれたものではないのは明らかだった。もちろんこれは十分な証拠と言えないが、この詐欺に関与している攻撃者は、ベトナムを拠点にしていることを示唆している。

 次に「ダウンロード」ボタンを押下すると、個人用Googleドライブに遷移した。

「hxxps://drive.google.com/u/0/uc?id=1sn-Lzt-2vJ_i-6I9lkbGgr_-IN2TVcA-&export=download」

 これは攻撃者が悪意のあるファイルを配布する安価な方法である。さらに、Googleが公式に実施している広告キャンペーンだと誤解させる目的もあるだろう。

ダウンロードページ

=======================
パソコンを仕事や遊びに使うなら、AIが欠かせません。何でもできるアシスタントになってくれます。
AIBardをダウンロードする
パスワード:789
=======================

人工知能とは程遠い手口

 ダウンロードされたのは、RAR形式の圧縮ファイル「GoogleAIUpdata.rar」だった。パスワードで「保護」されているため、VirusTotalにアップロードして、ファイルをスキャンしても意味がない。なぜGoogleから直接ダウンロードさせないのかと疑問を抱く人もいるかもしれない。実際のところ、パスワードによる「保護」は、攻撃者にとってセキュリティソフトを容易に通過させる手段に過ぎない。ダウンロードページに記載された「789」のパスワードを使い、解凍せずに圧縮ファイルを開くと、MSI(Microsoftソフトウェア・インストーラー)形式のインストーラー「Google Bard AI setup.msi」が含まれていた。幸いなことに、7-zipのような解凍ツールにはSHA-256などのハッシュ値を生成する機能があるため、有害な疑いのあるファイルを解凍することなく、VirusTotalでの検索が可能になる。

 次にファイル検索を実行したところ、悪意のある広告キャンペーンだと示す決定的な証拠が得られた。59社中26社が悪意のあるファイルだと判定し、ESET社は検出名「JS/ExtenBro.Agent.EK」の詳細な情報を報告している。「JS/ExtenBro.Agent.EK」は、Webブラウザーの設定を変更してしまうJavaScriptのエージェントだ。マルウェアに感染させた後、セキュリティベンダーのWebサイトへアクセスし、マルウェアの除去を妨害するものだ。主にアドウェアとして動作し、被害者がアクセスするあらゆるWebサイトに煩わしく不要な広告を表示させる。攻撃者は、被害者のコンピューターに表示された広告から継続的に収益を得られる仕組みだ。

おわりに

 執筆時点では、異なるバリエーションで偽の広告キャンペーンが掲載されている。その実態を調査する取り組みを進めているのは、筆者だけではないはずだ。そのほかにも、偽の「メタAI」や「Google AI」に関する広告の事例が見つかったので、残念ながら大規模な広告キャンペーンに発展しているのだろう。AIの流行に乗じて「手っ取り早く稼ぐ」よう、今も攻撃者は必死になっているのだ。極めて煩わしいアドウェアの拡散により、攻撃者は収益を上げようとしている。これは決して洗練された手法ではないが、悲しいことに、最新の技術に触れたいと考える人が、このような詐欺の被害に遭ってしまう。さらに残念なことに、FacebookやGoogleといった大手テック企業が、完璧に安全な環境を用意してくれるとは限らないのだ。

 本記事が疑わしい兆候を検出するのに役立つことを願う。高価なツールを使用しなくても、自宅から詐欺やマルウェア攻撃の可能性を調査する助けとなってほしい。

[引用・出典元]
A Bard’s Tale – how fake AI bots try to install malware
by Thomas Uhlemann 21 Aug 2023
https://www.welivesecurity.com/en/scams/a-bards-tale-how-fake-ai-bots-try-to-install-malware/