OpenAI を悪用する AkiraBot:中小企業の Web サイトを解析してフェイク SEO サービスを展開

New AkiraBot Abuses OpenAI API to Spam Website Contact Forms

2025/04/09 HackRead — AkiraBot と呼ばれる AI 搭載ボットによる、新たなスパム攻撃キャンペーンを、サイバー・セキュリティ研究者たちが特定した。AkiraBot は、中小企業の Web サイトを標的にして、カスタマイズされたプロモーション・メッセージを送り付けるものだ。高度なスパム・ツールである AkiraBot は、少なくとも8万件以上の Web サイトの問い合わせフォームや、チャット・ウィジェットへ向けてスパムを送信しており、2024年9月以降において 40万回以上の攻撃を仕掛けてきた。

SentinelOne の研究チームである SentinelLabs が発見したのは、OpenAI の GPT-4o-mini などの AI 言語モデルを活用し、独自のスパムコンテンツを作成することで、CAPTCHA 保護を回避し、人気の Web サイト・プラットフォームを標的とする、高度なフレームワークである。

AkiraBot の狙い

AkiraBot は、Web サイトのコンテンツを分析して、不正な SEO サービスを宣伝する、パーソナライズされたメッセージを生成するところから攻撃を開始する。それにより、標準的なスパム・フィルターによる検出とブロックが困難になる。このキャンペーンは、Shopify/GoDaddy/Wix/Squarespace といった人気の Web サイト構築プラットフォームを利用する、中小企業 (SMB) を主な標的としている。

これらのプラットフォームが、中小企業に選ばれやすいのは、その使い易さに要因がある。したがって、数多くの企業に効率的にリーチしたいスパマーにとって、魅力的な標的となっている。

New AkiraBot Abuses OpenAI API, Spammed 400K Sites with Fake SEO
Fake SEO services used by threat actors to promote AkiraBot (Credit: SentinelLABS)
AkiraBot の機能

4月9日 (水) の公開に先立ち、Hackread.com に共有された SentinelLabs のレポートによると、AkiraBot は、以下のような複数の悪意のあるアクティビティを実行できる。

AI 生成メッセージの作成:OpenAI の言語モデルを使用することで、AkiraBot は標的とする Web サイトに合わせて、カスタマイズされたように見えるメッセージを作成する。このカスタマイズでは、それぞれの Web サイト名や関連キーワードなどの変数を AI により置き換え、各メッセージを一意に識別している。

New AkiraBot Abuses OpenAI API, Spammed 400K Sites with Fake SEO
Customised malicious messages created using AI (Credit: SentinelLABS)

CAPTCHA バイパス:AkiraBot の際立った特徴のひとつは、CAPTCHA 保護を回避する高度な技術である。FastCaptcha/NextCaptcha などのツールを介して、ブラウザの属性を操作し、正当なユーザー行動を模倣することで、CAPTCHA システムを欺く。

中小企業がターゲット:AkiraBot は、人気の Web サイト・ビルダーを利用する中小企業 (SMB) を主要ターゲットにしている。これらのプラットフォームには、基本的なセキュリティ対策だけを講じる、数多くの中小企業が存在するため、このターゲット設定は戦略的だと、研究者たちは指摘している。

プロキシ・ネットワーク:IP アドレスや位置情報に基づく検出を回避するため、AkiraBot はプロキシ・サービス (SmartProxy) を悪用し、トラフィックを複数の IP アドレスにルーティングしている。それにより、ボットはスパム活動を分散させ、ネットワークベース保護によるブロックを回避している。

SentinelLabs は、「私たちのアーカイブには、2024年9月から現在までの活動を示すタイムスタンプを持つ、このツールの複数のバージョンが存在する。それぞれのバージョンは、2つのハードコードされた OpenAI API キーのいずれかを持つが、プロキシ認証情報とテスト・サイトが共通しているため、命名規則が異なっていてもアーカイブのリンクを辿れる」と述べている。

中小企業への影響

AkiraBot の台頭は、中小企業にとって、深刻なサイバー・セキュリティ脅威となる可能性がある。このボットは、問い合わせフォームやライブ・チャット・ウィジェットへ向けて、詐欺的な SEO サービスのスパム・オファーを送信することで、事業主の貴重な時間を無駄にすることに加えて、オンラインでの評判を毀損させる可能性も持つ。これらのスパム・メッセージは、標的を絞った性質を持ち、正規のものに見せかけるため、受信者が詐欺オファーに反応する可能性が高くなる。

TrustPilot における肯定的なフェイク SEO レビュー

これらのスパム・メッセージは、Akira や ServiceWrap といったブランド名で、SEO サービスを継続的に宣伝している。これらのサービスに使用されるドメインは変動するが、SentinelLabs が過去の DNS データから発見したのは、これまでの悪意の活動に関連付けられたインフラへのリンクなどの関連性である。

研究者たちが確認しているのは、TrustPilot などのプラットフォーム上で、これらの SEO サービスに関する肯定的なフェイク・レビューである。スパム行為ではあっても、サービスとしての正当性の確立を試行する動きが示唆される。

こうしたフェイク・レビューは、公式アプリストア上の悪質なアプリから Amazon の商品に至るまで、あらゆる業界で大きな問題となっている。それらは、疑いを持たないユーザーを欺き、疑わしいサービスに信頼を寄せさせ、詐欺行為の成功を容易にしている。

機能の向上

このツールの開発を、2024年9月まで遡って追跡した SentinelLabs は、複数のバージョンとコード名 (Shopbot/GoDaddy/Wixbot など) があることから、ターゲティング機能が継続的に向上していると判断している。当初は、問い合わせフォームに重点を置いていたが、新しいバージョンはライブ・チャット・ウィジェットもターゲットにしており、その中には Reamaze などのサービスが提供するものも含まれるという。

さらに研究者たちは、ある Telegram ユーザーとボットの運営者との間にある、成功指標の記録などの関連性を特定している。このボットは進捗状況を追跡し、成功したスパム送信と失敗した送信を記録しており、その総数は、2025年1月の時点で8万件以上を数えるという。

中小企業として考えるべきことは?

顧客との接点を Web サイトに依存している中小企業にとって、この種のスパムは深刻な悩みの種になる。それにより、コミュニケーション・チャネルが目詰まりし、真のメッセージを見分けることが難しくなる。また、企業に対する顧客の信頼を損なう可能性も生じてくる。

スパム・ドメインをブロックすることは有効だが、Akirabot は常に進化し続けるため、ユーザー企業は警戒を怠れない。大企業だけではなく中小企業も、サイバー攻撃からの保護が必要となっている。

AkiraBot が CAPTCHA をすり抜けているという点は、非常に衝撃的です。人間とボットを見分ける最後の砦ともいえる仕組みが破られたことで、従来の CAPTCHA に頼りきる防御は、むしろリスクになりつつあると感じます。また、その名称から Akira ランサムウェアとの関連があるのかと思いましたが、それらしき情報は見つけられませんでした。ただ、敢えてその響きを借りた命名なのでしょうか…。よろしければ、カテゴリ _AI/ML も、ご参照ください。