レポート 5177

関連インシデント

インシデント 10687 Report
AI-Powered Presentation Tool Gamma Implicated in Multi-Stage Phishing Campaign

Loading...
AI搭載プレゼンテーションツールがフィッシング攻撃に利用される
darkreading.com · 2025

AI搭載のプレゼンテーションツール「Gamma」が、フィッシング攻撃で標的を欺き、正規のメールだと思わせる目的で利用されている。

これは、セキュリティベンダーAbnormal Securityの研究者による報告で、同チームは本日、Gammaと、脅威アクターが新たな攻撃で標的に攻撃を仕掛けるためにGammaを悪用する手法に関する調査結果を発表した。Gammaは、顧客が生成AIモデルを用いてプレゼンテーションを作成するために使用する、本来は正規のグラフィックデザイン製品だが、Abnormalの研究者は、Gammaが偽のMicrosoftポータルへのリンクを配信するためにどのように利用されるかを詳細に説明した。

「この巧妙な多段階攻撃は、今日の脅威アクターが、あまり知られていないツールが作り出す盲点を突いて検出を回避し、無防備な受信者を欺き、アカウントを侵害していることを示しています」と調査ブログ記事には記されている。

フィッシング攻撃におけるGammaの活用

ブログ記事で紹介されている攻撃例では、攻撃者が盗んだ正規のメールアカウントを介して標的にメールを送信しました。メールには、添付されたPDFファイルを閲覧するための短いCTA(行動喚起)が含まれていました。

「添付ファイル」(メールに埋め込まれたPDF画像)をクリックすると、正規のGammaウェブページ上のGammaプレゼンテーションに誘導され、「完成したPDFドキュメント」を閲覧するためのリンクが表示されました。

Abormalの調査によると、「プレゼンテーションには、なりすまし組織のロゴ、共有ファイルに関する通知として表示されるメッセージ、そして目立つCTAボタン(通常は「PDFを表示」や「セキュアドキュメントを確認」といったラベルが付けられています)が表示されています」とされています。「CTAボタンにマウスオーバーすると、なりすまし企業名を含むサブドメインへのリンクであることがわかります。」

ターゲットがGammaページで2つ目のCTAをクリックすると、偽のMicrosoftロゴとCloudflareボット検出ツールが配置された遷移ページに誘導されます。Cloudflareのチェックを完了すると、ターゲットの認証情報収集を目的とした、偽物でありながら説得力のあるMicrosoft SharePointログインページが表示されます。

興味深いことに、このキャンペーンは中間者攻撃(AiTM)手法Abnormalが以前に解説を利用しており、偽のMicrosoftログインページは認証情報をリアルタイムでチェックし、認証情報に誤りがある場合はそれを通知します。

Abnormalは、正規のサイトを利用して悪意のあるコンテンツをホストする脅威アクターの手法を「living-off-trusted-sites(LOTS)攻撃」と呼んでいます。これは、フィッシング攻撃者が注目すべき方法で手口を強化しているという、最新の事例に過ぎません。

Dark Readingは、Abnormalの脅威インテリジェンスおよびプラットフォーム責任者であるPiotr Wojtyla氏に、リアルタイムの認証情報検証ツールやボット検証ツールの使用は、標的に安心感を与えるソーシャルエンジニアリングツールとして最も有効かどうかを尋ねました。「もちろんです」と氏は答えました。

「AiTM攻撃の主な目的は、MFAトークンとセッションを盗み取り、標的のアカウントに不正アクセスすることですが、信頼関係を構築し、正当性を印象付けることも同様に重要です」とWojtyla氏は述べています。 「今回のケースでは、攻撃者はGammaプレゼンテーション、偽のCAPTCHA不要の認証システム、そして説得力のある偽装ログイン画面を用いて、標的が期待するフローを忠実に再現します。これにより、信頼関係が構築され、摩擦が軽減され、警戒信号が上がるのを回避できます。」

対策

この攻撃から身を守ろうとする組織には、一般的なフィッシングのベストプラクティスが依然として適用されます。Abnormalが示した例には、攻撃者側の一般的な行動喚起、SharePointログインページへの不適切なURL、文法上の誤りなどが含まれていました。

しかし、Abnormalの調査で指摘されているように、このキャンペーンは正規の(ただし悪用された)メールアドレスから発信され、正規の製品が悪用されているため、一般的なフィッシングよりも検出が困難です。

Gamma側では、Wojtyla氏は、こうしたフィッシング攻撃がますます蔓延する中、誰でもツールを利用できるクラウドベースのプラットフォームを提供するプロバイダーは、「悪意のある利用を検知し、コンテンツへのアクセスを無効にするためのシステムとプロセスを導入する必要がある」と述べています。

「これには、コンテンツの自動スキャンと分析、フィッシングリンクの検出、脅威インテリジェンスフィードの活用、エンドユーザーからの報告の確認、行動追跡などが含まれます」とWojtyla氏は述べました。「プロバイダーは、ユーザーがGamma以外のサイトにリダイレクトされる際に警告バナーを表示することもできます。」

Dark ReadingはGammaにメールでコメントを求めたが、記事執筆時点で回答はなかった。

情報源を読む