Gmail Phishing の進化:人間に加えて AI ベースの防御システムを操作する?

New Gmail Phishing Attack Uses AI Prompt Injection to Evade Detection

2025/08/24 CyberSecurityNews — これまでのフィッシングは、人を欺くことを常としてきた。しかし、今回のキャンペーンで明らかになったのは、攻撃者はユーザーを標的にするだけでなく、AI ベースの防御システムも操作しようとしたことだ。これは、先週に報告した Gmail フィッシング・チェーンの進化形である。先週のキャンペーンで悪用されていたのは、緊急性のアピールと巧みなリダイレクトだったが、今回は自動分析を混乱させるための、隠された AI プロンプトが導入されている。

Anurag の分析によると、このフィッシング・メールの件名は “Login Expiry Notice 8/20/2025 4:56:21 p.m” である。その本文は、受信者にパスワードの有効期限が切れることを警告し、認証情報の確認を促すものだった。

公式 Gmail ブランドを偽装し、ユーザーにとっての緊急性を演出することで、考える時間を与えることなくクリックさせる、標準的なソーシャル・エンジニアリングである。

Expiry notice
Expiry notice
AI に対するプロンプト・インジェクション

この脅威アクターの真のイノベーションは、ユーザーから隠されたところにある。悪意のメールのソースコードには、ChatGPT や Gemini といった LLM プロンプトを想定して記述されたテキストが埋め込まれている。

以下の “プロンプト・インジェクション” は、SOC によりトリアージや脅威分析に活用され始めた、AI ベースのセキュリティ・ツールの乗っ取りを目的としている。

Gmail Phishing With Prompt Injection
prompt Injection

それらの AI モデルは、悪意のリンクを識別してメールにフラグを立てるが、挿入された指示に惑わされ、長い推論ループの実行や、無関係な視点の生成を行うことがある。Anurag によると、この二重攻撃は、人間の心理と機械知能を同時に標的にしているという。

この種の攻撃が成功すると、自動システムによる脅威の誤分類や、重要なアラートの遅延などを引き起こし、防御態勢をフィッシング・メールが完全にすり抜ける可能性が生じる。

この配信チェーンは、さらに巧妙なものになっている。

  1. Email Delivery:メールは SendGrid から送信された。SPF と DKIM のチェックは通過し、DMARC に失敗したが、ユーザーの受信トレイには届いた。
  2. Staging Redirect:メール内の最初のリンクは Microsoft Dynamics 内のものであり、信頼できるように見える、最初のホップを作成していた。
    hxxps://assets-eur.mkt.dynamics.com/d052a1c0-a37b-f011-8589-000d3ad8807d/digitalassets/standaloneforms/0cecd167-e07d-f011-b4cc-7ced8d4a4762
  3. Attacker Domain with Captcha:リダイレクト先のページには、CAPTCHA が表示されていた。それにより、自動クローラーやサンドボックスがブロックされ、最終的なフィッシング・サイトへのアクセスが行われる。
    hxxps://bwdpp.horkyrown.com/M6TJL@V6oUn07/
  4. Main Phishing Site:CAPTCHA を通過した後のユーザーは、難読化された JavaScript を取り込んだ、Gmail 風のログイン・ページへと誘導された。
    hxxps://bwdpp.horkyrown.com/yj3xbcqasiwzh2?id=[long_id_string]
  5. GeoIP Request:このフィッシング・サイトはリクエストを作成して、被害者のプロファイルである、IP アドレス/ASN/位置情報データを収集するが、環境の分析は除外している。
    hxxps://get.geojs.io/v1/ip/geo.json
  6. Beacon Call:テレメトリ・ビーコンまたはセッション・トラッカーを使用して、実際のユーザーとボットを区別する。
    GET hxxps://6fwwke.glatrcisfx.ru/tamatar@1068ey

上記のプロセスを要約すると、SendGrid 経由で送信されたメールは最初のフィルタを回避し、また、正規の Microsoft Dynamics URL へのリダイレクトによる最初のホップは、信頼できるものに見える。

CAPTCHA は攻撃者のドメインを保護し、自動スキャナーをブロックする。最終的なフィッシング・ページでは、多層構造の難読化された JavaScript を使用して、認証情報を盗み出す。

攻撃者のドメイン (bwdpp.horkyrown.com) の WHOIS レコードには、パキスタンの連絡先情報が記載されており、テレメトリ・ビーコン (6fwwke.glatrcisfx.ru/tamatar@1068ey) の URL パスには、ヒンディー語/ウルドゥー語の単語が含まれている。

これらの手がかりは決定的なものではないが、南アジアの脅威アクターとの関連性を示唆している。

この攻撃キャンペーンが浮き彫りにするのは、フィッシング戦術の明確な進化である。いまの攻撃者たちは、AI を悪用する脅威を構築し、防御ツール自体を改竄しようとしている。

このインシデントは、防御戦略の転換を迫るものである。ユーザー組織にとって必要な対応には、ソーシャル・エンジニアリングから従業員の保護だけではなく、AI ツールの迅速な保護も含まれる。

Gmail を装うフィッシング攻撃が、ユーザーだけではなく、AI ベースの防御システムまで欺こうとした事例が紹介されています。この攻撃者は、メール本文に通常のフィッシング要素を仕込みながら、ソースコード内には LLM 向けの隠れた “プロンプト・インジェクション” を埋め込んだとされます。その結果として、AI が本来の判定を誤り、脅威分析やアラートに遅延が生じる可能性があったと、この記事は指摘しています。そのプロンプトですが、文中の画像 “prompt Injection” を拡大すると、それらしいものが見えます。よろしければ、カテゴリ AI/ML と、Phishing で検索も、ご参照ください。