大規模言語モデル(LLM)は、質問に対して非常に流暢で説得力のある回答を生成するよう設計されている。しかし、その裏には「知らないことは知らないとは言わず、もっともらしい嘘をつく」という根本的な欠陥がある。この「幻覚(ハルシネーション)」と呼ばれる現象は、セキュリティ研究者の間では周知の事実だが、Palo Alto Networks(パロアルトネットワークス)の脅威インテリジェンス部門「Unit 42」は、攻撃者がこのAIの弱点を悪用する新たな攻撃ベクトルを「ファントム・スクワッティング(Phantom Squatting)」と名付け、警戒を促している。
これは、単なる新しいタイプのサイバースクワッティングではない。従来のサイバースクワッティングが人間のタイプミス(typosquatting)や見た目の類似ドメイン(例:netflix-payments[.]com)に依存していたのに対し、ファントム・スクワッティングは「AI自身の誤り」を攻撃経路に変えてしまう点で、本質的に異なる
。
ファントム・スクワッティングは、以下の3つのシンプルかつ危険なステップで実行される。
ステップ1:幻覚ドメインの探索。 攻撃者はまず、特定のブランド名に関してLLMがどのようなURLを幻覚するか、組織的にプロンプトを入力して探り出す。LLMは「完全に構造化された、非常に説得力のある、しかし実際には登録されたことのないURL」を生成することがある
。
ステップ2:幻覚ドメインの登録。 攻撃者は特定された未登録ドメインを、わずか数ドルで購入し、悪意のあるインフラを構築して待機する。
ステップ3:ユーザーの信頼を悪用。 人間のユーザー、あるいは自律型のAIエージェントが、AIが推薦したリンクを信じてクリックすると、その瞬間に罠にかかる。従来のセキュリティフィードがそのドメインを悪性と判定する頃には、すでに被害が発生していることが多い
。
Palo Alto Networksは現時点で具体的なブランド名やドメインを公開していないが、いくつかの文書化されたパターンからその実態が浮かび上がる。
カスタマーサポートのなりすまし。 ファントム・スクワッティングは、AIシステムが生成した正規のブランドやサポートURLを装ったフィッシングリンクを作成するために利用されうる。AIアシスタントからのリンクは、ユーザーに「信頼性が高い」と誤認されるリスクがある
。
AI関連テーマのフィッシング。 Unit 42は、ChatGPTなどの生成AIへの関心を悪用したマルウェアやフィッシングが急増していることを報告している。2022年11月から2023年4月の間に、ChatGPT関連ドメインの月間登録数は910%増加し、1日あたり最大118件の悪性URLが検出された
。
類似手法:「スロップスクワッティング」。 ファントムスクワッティングのソフトウェアサプライチェーン版として「スロップスクワッティング(Slopsquatting)」が存在する。これは、AIがコーディングタスクで頻繁に幻覚する存在しないパッケージ名を攻撃者が特定し、npmやPyPIなどの公開リポジトリに悪意あるパッケージとして事前登録する攻撃だ
。開発者がAIアシスタントにコードを依頼すると、AIは自信満々に存在しないパッケージを推薦し、それを信じた開発者がインストールしてしまう
。ある調査では、AIコーディングツールが推奨するパッケージの約19.7%(20万5,000以上)が完全な幻覚であることが判明している
。
Unit 42は、ファントム・スクワッティングのリスクを軽減するための多層防御策を以下のように提唱している。
1. プロアクティブなドメインモニタリング。 組織は不審なスクワッティングドメインを監視すべきである。防御側もLLMを活用でき、DomainLynxという研究では、複合AIシステムが1,649のスクワッティングドメインのデータセットに対して94.7%の精度を達成し、1ヶ月の実証実験で209万の新規ドメインから34,359のスクワッティングドメインを検出した。
2. 新規登録ドメイン(NRD)フィルタリング。 Palo Alto Networksの「Advanced DNS Security」には、新規登録ドメインを検出するシグネチャ(UTID 109020001)が含まれている。新規登録ドメインは、C2サーバーの運用やマルウェア配布などの悪意ある活動に頻繁に悪用されるため、フィルタリングが有効だ
。
3. DNSレイヤーでの保護。 DNSセキュリティ制御を用いて、フィッシングやソーシャルエンジニアリングに悪用されるリスクの高い新規登録ドメインへのトラフィックを検査・ブロックする。Palo Alto Networksの「Advanced URL Filtering(AURL)」は、Precision AIとリアルタイムのディープラーニング検知により、これまで見たことのないフィッシングドメインが出現した瞬間に識別・ブロックする
。
4. ユーザー教育とAI出力の検証。 ユーザーはAIが生成したURLを常に疑いの目で見るべきであり、特に重要な判断を伴う出力は、人間による確認や信頼できるデータベース・APIとの照合が不可欠である。
5. AIエージェントへのガードレール。 自律型エージェントやAI支援ワークフローは、生成されたURLやパッケージ名を取得・インストール・実行する前に、必ず信頼できる情報源と照合する仕組みを組み込むべきである。これは特に、開発パイプラインに直接リスクを及ぼすスロップスクワッティングに対して重要である
。
ファントム・スクワッティングは、AIの既知の欠陥「幻覚」を、AIの出力を信頼するユーザーに対して武器化する、現実的かつ新興の脅威である。この攻撃は、LLMが最も得意とする「存在しない情報を自信満々に生成する」という特性を逆手に取っている。防御には、プロアクティブなドメインモニタリング、厳格なDNS/NRDフィルタリング、ユーザー教育、そして「AIが生成したURLは独立した検証が終わるまでは信頼しない」という原則に基づいたAIエージェントのガードレールを組み合わせた多層的なアプローチが不可欠である
。
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
ファントム・スクワッティングとは、LLMが「幻覚(ハルシネーション)」として生成した実在しないドメイン名を、攻撃者が先回りして登録し、フィッシングなどに悪用する新たな攻撃手法である[6][7][28]。
ファントム・スクワッティングとは、LLMが「幻覚(ハルシネーション)」として生成した実在しないドメイン名を、攻撃者が先回りして登録し、フィッシングなどに悪用する新たな攻撃手法である[6][7][28]。 攻撃者はAIにプロンプトを入力してブランド名に関連する幻覚ドメインを探り出し、そのドメインを安価で購入。ユーザーまたは自律型AIエージェントがAI生成のリンクを信じてクリックすると、罠にかかる仕組みだ[6][28]。
Palo Alto Networksは、プロアクティブなドメインモニタリング、新規登録ドメイン(NRD)フィルタリング(UTID 109020001)、DNSレイヤー保護、AI出力の検証、AIエージェントへのガードレール導入という多層防御を推奨している[1][2][27][28][29]。