SpamGPT による大規模フィッシング攻撃：$5,000 で販売される AI 搭載フィッシング・ツールの脅威

SpamGPT – AI-powered Attack Tool Used By Hackers For Massive Phishing Attack

2025/09/09 CyberSecurityNews — SpamGPT と呼ばれる高度なサイバー犯罪ツール・キットは、人工知能とプロ仕様のメール・マーケティング・プラットフォーム機能を組み合わせることで、ハッカーたちによる大規模かつ効果的なフィッシング・キャンペーンを支援している。ダークウェブで Spam-as-a-Service プラットフォームとして販売される SpamGPT は、詐欺メール攻撃の大半の工程を自動化することで、犯罪者の技術的障壁を大幅に低減している。

このプラットフォームのインターフェイスは、正規のマーケティング・サービスを模倣しているが、違法行為向けに設計されたツール・スイートを提供するものだ。SpamGPT は AI を活用した暗号化フレームワークを備え、攻撃者が悪意のキャンペーンを作成し、最適化するための、AI マーケティング・アシスタントを搭載している。

SpamGPT の開発者は、この悪意のツールキットを、商用マーケティング・ソフトウェアと武器化された自動化の境界を曖昧にする、All-in-One ソリューションとして宣伝している。

プロ級サイバー犯罪の規模拡大

SpamGPT のユーザー・インターフェイスは、犯罪キャンペーンを管理するための包括的なダッシュボードを提供する。

SMTP/IMAP サーバの設定／メール配信テスト／キャンペーン結果分析などのモジュールを備え、Fortune 500 企業向けマーケティング・ツールの機能を、サイバー犯罪向けに転用している。さらに、攻撃者はエージェント・レスのリアルタイム監視ダッシュボードにより、メール配信状況やエンゲージメントを即時に把握できるという。

このプラットフォームの中核を形成するのは、KaliGPT と呼ばれる AI アシスタントであり、ダッシュボードに統合されている。このツールは、説得力のあるフィッシング・メールの件名や本文を自動生成し、ターゲット層を狙うための助言を提供する。攻撃者は高度なライティング・スキルを必要とせず、AI に詐欺テンプレートを作成させるだけで済む。

このツールキットは規模の拡大を重視しており、Amazon AWS／SendGrid などの信頼性の高いクラウドサービスを介して悪意あるトラフィックを隠蔽し、Gmail／Outlook／Microsoft 365 などの、主要プロバイダへの配信成功を保証すると謳っている。

高度な回避と自動化

SpamGPT の特徴の一つは、検出回避とインフラ管理の自動化を実現する高度な機能群である。

この $5,000 で提供されるツールには、SMTP クラッキングの習得に関するトレーニングが含まれ、スパム送信用の高品質 SMTP サーバを、無制限に侵害または作成する手法を学習できる。それにより、スキルの低い攻撃者であっても大規模攻撃に必要なインフラを悪用できる。

このプラットフォームは、高度ななりすまし技術を容易に実現し、攻撃者によるメール・ヘッダのカスタマイズや、ブランド／ドメインなどの偽装を可能にする。

有効な SMTP 認証情報と偽りの送信者情報を使用することで、SpamGPT は SPF や DKIM などの基本認証チェックを回避可能であり、標的とされる組織が厳格な DMARC ポリシーを適用していない場合のリスクは高くなる。

SpamGPT は、SMTP／IMAP アカウントを一括検証するビルトイン・ユーティリティを備えているため、攻撃キャンペーンの開始前に認証情報の有効性を確認することが可能となり、その運用効率を向上させる。

また、指定アカウントへのメール送信により、受信トレイ／迷惑メールフォルダへの到達確認を自動化する受信トレイ・テストにより、攻撃者はコンテンツを微調整し、最大限の効果を狙えるようになる。

フィッシング攻撃の新たな領域

SpamGPT は、パワフルな機能をユーザー・フレンドリーな GUI に統合し、高度なフィッシング・キャンペーンへの参入障壁を大幅に引き下げている。かつては、専門知識を要した攻撃も、この既製のツール・キットにより、単独オペレーターであっても実行できる。

この AI 駆動型プラットフォームの台頭は、サイバー犯罪の新たな進化を示唆している。インテリジェントなコンテンツ生成と自動化により、説得力のある攻撃がスケーラブルに展開され、検知が困難になっている。

この新たな脅威に対抗するために、ユーザー組織はメール防御を強化する必要がある。DMARC／SPF／DKIM などの強力なメール認証プロトコルを適用することは、ドメイン・スプーフィングを困難にする、重要な第一歩である。

さらに、企業は AI が生成するフィッシング・コンテンツの、微細な言語パターンや技術的シグネチャを検出する AI 搭載メール・セキュリティ・ソリューションを導入すべきである。攻撃者が AI を活用するのと同様に、防御側も高度な技術と脅威インテリジェンスを組み合わせ、常に先手を打つことが求められる。

SpamGPT というサイバー犯罪向けツールが、ダークウェブで販売されているようです。正規のマーケティング支援に似せた仕組みを、AI と組み合わせて不正利用できるようにしています。SMTP 認証情報を使った回避や、AI によるフィッシング・メールの自動生成機能などにより、低スキルの攻撃者であっても、大規模な攻撃が可能になるでしょう。こうした背景から、通常の防御策をすり抜ける攻撃が増えるだろうと、この記事は指摘しています。よろしければ、カテゴリ AI/ML と、as-a-Service で検索も、ご参照ください。