※本記事は、https://www.secureworks.com/ で公開されている ARE SCAMMERS USING AI TO ENHANCE FAKE OBITUARY SITES? を翻訳したもので、 2024年3月21日執筆時点の見解となります。
Secureworks® Counter Threat Unit™(CTU)リサーチャーは、最近亡くなった人の情報を探しているユーザーをターゲットにしたWebサイトを調査しています。攻撃者はまず、Google検索のトレンドを監視し、亡くなってから日が浅く(数時間または数日)、世間が強い関心を示している訃報を見つけ出します。次に、彼らは、葬儀や追悼をテーマにしたWebサイトに掲載されている情報を模して偽の訃報記事の空白を埋めます。さらに、攻撃者はSEOポイズニングを利用して、自身のサイトがGoogle検索結果の上位に表示されるように操作し、アドウェアや潜在的に望まれないプログラム(PUP)をプッシュするWebページに訪問者を誘導したり、報酬目当てのクリック稼ぎに利用したりします。
偽の訃報サイトは訃報詐欺の1つであり、近年、増加傾向にあります。オンラインでの同様の手口として、偽の訃報を伝えるYouTube動画があります。その多くは、ユーザーが視聴するたびに収益が得られる仕組みになっています。
2024年2月のある訃報記事をCTU™で分析したところ、ソーシャルメディアアカウントに投稿された短い情報から事実を収集し、それらをもとに長い追悼文を作成する過程で、生成系AI技術が使用されている可能性が示唆されています。この記事は、死亡から48時間以内に6つのサイトに掲載されました。文言はそれぞれ少し異なるものの、どの記事も元のSNS投稿と同じ内容です。AIを使用した「訃報記事の海賊版(Obituary pirates)」の出来はさまざまで、一部の記事には明らかな間違い、不正確な内容や捏造が含まれていました。
CTUリサーチャーは、偽の訃報記事を掲載したり、他のニュース記事を流用している多数のドメインとWebサイトを特定しました。これらのサイトを閲覧すると、出会い系サイトやアダルトサイトにリダイレクトされる場合もあれば、すぐにCAPTCHAプロンプトが表示され、クリックした時点でWebプッシュ通知やポップアップ広告がインストールされる場合もあります(図1を参照)。これらの通知には、McAfeeやWindows Defenderなど、大手ウイルス対策ソフトウェアを装った偽のウイルス警告が表示されます。さらに、被害者がどのボタンをクリックしても、ウイルス警告はブラウザーから消えません。これらのボタンは、サブスクリプション型のウイルス対策ソフトウェアの正規ページにリンクしており、ハイパーリンクに埋め込まれたアフィリエイトIDを通じて、新規サブスクリプションまたは更新の報酬が攻撃者に入る仕組みになっています。
図1. 偽のウイルス感染警告を発しているWebプッシュ通知(出典:Secureworks)
CTUリサーチャーが分析したサイトにて、マルウェアが配布されていた痕跡は見つかりませんでした。ただし、異なる動機を持つ攻撃者が同様の手口を利用し、情報窃取マルウェアやその他のマルウェアを配布する可能性があります。GOLD ZODIACなど金銭目的の攻撃グループは、SEOを実践して、感染したWordPressサイトにユーザーを誘導し、GootLoaderマルウェアを配布することに成功しています。
詐欺師や出来心による犯罪者は、多くの場合、人の感情的な弱さに付け込みます。最新のAI技術と大手検索エンジンの弱点を悪用し、さらにソーシャルエンジニアリングの手口を組み合わせることで、こうした詐欺を成功させています。CTUリサーチャーは、組織がこれらの攻撃について従業員を教育するとともに、Secureworks Taegis™ XDRなどのExtended Detection and Response(XDR)ソリューションを導入して、不審なWebサイトや不正なソフトウェアのインストールを検出することを推奨しています。また、各人は見知らぬWebサイトにアクセスするときに注意しなければなりません。
こうした脅威へのリスクを軽減するためにCTUリサーチャーは、組織が利用可能なセキュリティ対策を活用し、表1のインディケータ情報に沿ってアクセス状況のレビューおよびアクセス制限を実施することを推奨します。また、該当するドメインには悪性コンテンツが含まれる可能性があるため、ブラウザ上で開く際には充分ご注意ください。このリストは、上記の詐欺手口で使用されたWebサイトのサンプルです。今後、さらに増える可能性があります。
| インディケータ | タイプ | 情報 |
|---|---|---|
| nextdoorfuneralhomes.com | ドメイン名 | 訃報記事の詐欺サイト |
| memorialinfoblog.com | Domain name | Obituary scam site |
| obituaryway.com | Domain name | Obituary scam site |
| obitsmemorialhomes.com | Domain name | Obituary scam site |
| funeralinfotime.com | Domain name | Obituary scam site |
| obituaryinfotimes.com | Domain name | Obituary scam site |
表1. この脅威に関するインディケータ
SEOポイズニングと情報窃取マルウェアの危険性について詳しくは、2023年サイバー脅威の実態レポートおよび増大する情報窃取マルウェアの脅威をご覧ください。インシデントの緊急対応サポートが必要な場合は、Secureworksインシデント対応チームまでお問い合わせください。
