%20--%3e%3cdefs%3e%3cstyle%3e%20.st0%20{%20fill:%20%23061b40;%20}%20.st1%20{%20fill:%20%23306af1;%20}%20.st2%20{%20fill:%20%235ce5cf;%20}%20%3c/style%3e%3c/defs%3e%3cg%3e%3cpath%20class='st0'%20d='M55,10.5h9v3h-9v9h12V7.5h-12v3ZM64,19.5h-6v-3h6v3Z'/%3e%3cpolygon%20class='st0'%20points='69%2016.5%2078%2016.5%2078%2019.5%2069%2019.5%2069%2022.5%2081%2022.5%2081%2013.5%2072%2013.5%2072%2010.5%2081%2010.5%2081%207.5%2069%207.5%2069%2016.5'/%3e%3cpolygon%20class='st0'%20points='95%2010.5%2095%207.5%2083%207.5%2083%2022.5%2095%2022.5%2095%2019.5%2086%2019.5%2086%2016.5%2095%2016.5%2095%2013.5%2086%2013.5%2086%2010.5%2095%2010.5'/%3e%3cpath%20class='st0'%20d='M40,1.5v21h11.6l1.4-1.4v-7.6h0c0,0-1.4-1.5-1.4-1.5l1.4-1.4V2.9l-1.4-1.4h-11.6ZM50,19.5h-7v-6h7v6ZM50,10.5h-7v-6h7v6Z'/%3e%3c/g%3e%3cpath%20class='st1'%20d='M23.1,24L14.7,4.8l-4.9,11.2h3.8l-1.8,4H3.3L12.1,0H2C.9,0,0,.9,0,2v20c0,1.1.9,2,2,2h21.1Z'/%3e%3cpath%20class='st2'%20d='M34,0h-16.8l10.6,24h6.2c1.1,0,2-.9,2-2V2C36,.9,35.1,0,34,0ZM32.5,20h-4V4h4v16Z'/%3e%3c/svg%3e)
セキュリティ会社のPush Securityは最近、企業の従業員を標的にした新たなネットワーク詐欺攻撃を暴露する緊急のセキュリティ警告を発表しました。ハッカーはOpenAIの組織招待メカニズムを悪用し、従来のメールセキュリティ対策を回避し、従業員を偽のAI作業環境に誘導しようと試みています。
検証を回避した「合法」な罠
この計画的なソーシャルエンジニアリング攻撃において、ハッカーはまずターゲットとなる企業と同じ名前のOpenAI組織を作成しました。その後、OpenAI公式の通知メールアドレスから特定の従業員に参加招待を送信しました。メールは公式からのものであり、標準的な身分確認を通過しているため、非常に嘘っぽいものです。
さらに混乱を招くのは、ハッカーが事前に組織アカウントに有効なVISAクレジットカードを結びつけ、招待された従業員に対してデフォルトで最高レベルの管理者権限を許可したことです。このような異常な「親切さ」により、従業員が参加時に遭遇する可能性のある支払いのハードルやシステムの異常な表示が完璧に解消されました。
プロセスの脆弱性がセキュリティの盲点を暴露
セキュリティ研究者は実際に参加プロセスをテストした際に、受け入れプロセス全体にほとんど追加の2次認証がなかったことを発見しました。ユーザーはメール内のリンクをクリックするだけでその組織にアクセスでき、アカウントパスワードの再確認も必要ありませんでした。これにより、企業の既存のセキュリティ対策が簡単に破られました。
AIツールが日常業務に完全に統合されるにつれて、このようなプラットフォーム協力メカニズムと共有通知を基盤としたソーシャルエンジニアリングのパターンはますます深刻化しています。専門家は、各企業が従来のメールフィッシングから、AIプラットフォーム協力メカニズムに対するセキュリティレビューへと防御の重点を拡大する必要があると注意を促しています。