7月1日、The Hacker Newsが「Phantom Squatting Uses AI-Hallucinated Domains for Phishing and Malware」と題した記事を公開した。この記事では、LLMが幻覚(ハルシネーション)で生成した存在しない偽ドメインを攻撃者が先回りして登録し、フィッシングやマルウェア配布に悪用する「Phantom Squatting」という手法について詳しく紹介されている。以下に、その内容を紹介する。
LLMの「でたらめ」が武器になる
大規模言語モデル(LLM)は、質問への回答の中で実在しないURLを堂々と生成する。これ自体は以前から知られていたが、Palo Alto NetworksのUnit 42が今回明らかにしたのは、攻撃者がその偽ドメインを先回りで取得し、実際のフィッシングサイトを立ち上げているという事実だ。Unit 42はこの手法を「Phantom Squatting(ファントム・スクワッティング)」と命名した。
なぜ効くのか。ブロックリストや脅威インテリジェンスは、サイトが悪事を働いた実績を元にフラグを立てる仕組みだ。登録直後のドメインには悪評がなく、フィルタをすり抜ける。さらに問題なのは、AIが返してきたリンクをユーザーが無条件に信頼するという心理的な背景だ。フィッシングメールも悪意ある広告も不要で、AIが誘導役を務める。
規模の測定:685,339件の質問から見えた実態
Unit 42は2つのAIモデルに対して計685,339件の質問を投げかけ、技術・金融・医療・政府・ギャンブルなど913ブランドに関連するリンクを収集した。
得られた210万件のリンクのうち:
- 13,229件は脅威インテリジェンスがすでに悪性と判定していた(AIが既知の悪性URLを自ら出力していた)
- 約25万件はまだ未登録のドメイン——いつでも誰でも取得できる状態
さらに重要な発見がある。モデルの「creativity」パラメータ(temperature)を上げると、出力される偽ドメインの数は増えるだけで、減らない。そして異なるモデルが同じ質問に対して同じ偽ドメインを生成することが多い。これは攻撃者にとって「次の標的」を予測しやすいことを意味する。Unit 42の研究者はこれを「LLMアーキテクチャの構造的な特性であり、根本的にはパッチ不可能(inherently unpatchable)」と表現している。
実際に起きた2つのケース
ケース1:Montana Empireフィッシングキット
2026年3月8日、Unit 42のシステムが「AIモデルが国営郵便サービスのオンラインマーケットプレイスに似たドメインを生成し続けている」と予測。全temperatureで両モデルが同じ偽ドメインを出力した。
23日後の3月31日、攻撃者がそのドメインを登録。「Montana Empire」というフィッシングキットを展開し、本物のサイトをリアルタイムで複製。カード番号、銀行振込情報、国民IDを窃取した。注目すべき点として、残されたプロジェクトファイルとセッションログから、攻撃者もAIコーディングアシスタントを使ってこのキットを構築していたことが判明している。TelegramのBotで被害者のワンタイムパスコードを手動承認する仕組みまで実装されていた。
ケース2:51日前の予測
第二のケースでは、Unit 42が攻撃者登録の51日前に偽ドメインを特定。攻撃者はそこにブランドのピクセルパーフェクトな偽サイトを立ち上げ、「4.8星・200万ユーザー」という偽評価を添えて悪意あるAndroidアプリを配布した。そのほか検出されたドメインには、UAEの大手銀行、欧州の銀行、バングラデシュ向けのスポーツ賭博サイトのなりすましも含まれていた。
「スロップスクワッティング」との類似
Phantom Squattingは、AIコーディングツールが幻覚で生成する存在しないパッケージ名を攻撃者が先に登録するスロップスクワッティング(slopsquatting)のドメイン版だ。
スロップスクワッティングは実害が出ている。USENIX Security 2025の研究でコード生成モデルが存在しないパッケージ名を日常的に提案することが示され、PhantomRavenキャンペーンでは126個のnpmパッケージ(合計86,000件以上インストール)にマルウェアが仕込まれた。
防御側が取れる対策
モデルの幻覚に一定の再現性があるという性質は、逆に防御に使える。セキュリティチームはどの偽ドメインが生成されやすいかを事前にマッピングし、それらの登録を監視することで、数週間単位の先行警告を得られる。
個人レベルでの対策としてUnit 42は以下を挙げている:
- AIが提示したリンクをそのまま信頼しない。パスワードの入力やコードへの貼り付け前に、公式ドメインかを必ず確認する
- AIエージェントがモデル生成リンクを検証なしに自動的に開いたり、ファイルをダウンロードしたりしないよう制限する
- モデルが書いたものは「未検証の下書き」として扱い、権威ある情報源とは区別する
Unit 42がまとめるように、問題の核心は「防御側と攻撃側、どちらが先にこれらのドメインに到達するか」という競争に尽きる。
詳細はPhantom Squatting Uses AI-Hallucinated Domains for Phishing and Malwareを参照していただきたい。