Tenable ブログ
ブログ通知を受信するOpenAI の ChatGPT と GPT-4 がフィッシングメールのルアーや偽の OpenAI トークンを宣伝する Twitter 詐欺に使用される
OpenAI の GPT-4、すなわち ChatGPT の新型マルチモーダルモデルへの関心が高まっていることに目を付けた詐欺師たちは、暗号通貨の窃取を目的に E メールや Twitter を使ったフィッシングキャンペーンを開始しました。 本ブログではこの詐欺がどのように行われ、どうすればその被害者になるのを防げるかを解説します。
背景
3 月 15 日、すなわち待望の OpenAI Generative Pre-trained Transformer Version 4 (GPT-4) が人工知能チャットボット ChatGPT で公開 (開発者向けは API を通じて公開) された 1 日後、詐欺師たちは暗号通貨の利用者に対し、偽の OpenAI トークンに関するフィッシングメールの送信とフィッシングリンクのツイートを開始しました。
本ブログ発行時点において、OpenAI は ChatGPT Plus の利用者と開発者 (API 経由) のみに GPT-4 へのアクセスを許可しています。このアクセス制限は意図せぬ結果を招き、詐欺師は何の疑念も持たないユーザーをフィッシングサイトに誘い込む、格好のエサを手にしています。
フィッシングメール自体には、「Don’t miss out on the limited-time OpenAI DEFI token airdrop」(期間限定の OpenAI DEFI トークンエアドロップをお見逃しなく) という 1 文のみが記載されています。そして、OpenAI からの E メールの画像が挿入されています。これは、正式な OpenAI からの E メールのように見えるテンプレートから作成されたものです。ただし、偽装された E メールには、文法上の誤りやスペルミスがいくつか見られます。
フィッシングメールでは、GPT-4 は「now only available for people with the OpenAI token」(現時点では OpenAI トークンを持つユーザー限定でご利用いただけます) としています。これは、GPT-4 へのアクセスを制限するという OpenAI の方針を踏襲しており、この詐欺そのものはある程度本物らしく見えます。しかし、この E メールに記載された日付は間違っており、「トークンエアドロップ」は 3 月 14 日水曜日に開始されるとしていますが、実際の水曜日は 3 月 15 日でした。
多様なユーザーに送信されるメールメッセージが暗号通貨のデータ漏洩につながる
このキャンペーンで、詐欺師が標的となるユーザーをどのように選別したかは不明です。何らかの方法で OpenAI ユーザーのリストを入手できたのかどうかも断定できません。 1 つの可能性としては、詐欺師が SendGrid から入手した漏洩データを使ってターゲットリストを作成したことが考えられます。SendGrid からは、暗号通貨税務サービスである CoinTracker のユーザー情報が流出しています。
侵害された Twitter アカウントが OpenAI を装って GPT-4 詐欺を助長
3 月 16 日、ジャーナリストの Zack Abrams 氏が、OpenAI を装った偽の Twitter アカウントから届いたメンションの写真をツイートしました。Abrams 氏はこの詐欺行為を「まずまずの出来」と評し、「画像、名称、青いチェックマークは本物の OpenAI と同じ」と述べています。
If you're curious what it's like being a journalist who covers crypto... I get about five of these in my mentions every day.
— Zack Abrams (@ZackDAbrams) 2023 年 3 月 16 日
Decent scam attempt! Picture, name, and blue check matches the real OpenAI, though obviously the @ is a giveaway. pic.twitter.com/zTcCZkPGTI
Abrams 氏が投稿したツイートの画像には、「GPT-4 の暗号通貨ユーザーに配布される」として「$GPT コイン」を推奨する詐欺師の姿も見られます。
ソーシャルメディアでの偽の暗号通貨プレゼントは目新しいものではなく、Twitter のメンションをスパムすることが、このタイプの暗号通貨詐欺を持続させる重要な要素となっています。
OpenAI ウェブサイトによく似たフィッシングウェブサイト
ユーザーがフィッシングメールのリンクをクリックすると、ChatGPT と GPT-4 の実際の OpenAI ウェブサイトと非常によく似たサイトに誘導されます。
ただし、このフィッシングサイトは「期間限定の OpenAI DEFI トークンエアドロップ」を宣伝している点に大きな違いがあります。「期間限定」といった言葉を使うのは、暗号通貨詐欺における重要な要素の 1 つ、すなわち希少性を持たせるためです。「限られた」数のトークンが「限られた」期間に配布されると伝えることで、切迫感が生まれます。 こうしてチャンスを逃すことへの不安 (FOMO) をあおると、被害者が危険信号を見過ごす可能性が高まります。たとえば今回の場合、日付 (火曜日は 3 月 16 日ではなく 3 月 14 日) と分散型金融の表記 (DEFI ではなく DeFi) が間違っていました。
このフィッシングサイトのもう 1 つの特徴は、ドメイン名にハイフンを使用していることです。これは、URL の前半でメインドメインが「openai.com」であるかのように見せかけるためです。そのために、サブドメインに「openai」、第 2 レベルに「.com-token」、それに続くトップレベルのドメインに「.info」を使用しています。
このウェブサイトのテキストは、偽の OpenAI トークンの所有者は排他的アクセス権を取得して、「発売予定の新製品」をプレビューし、発売前にプロトタイプを試験使用することができると謳っています。また、OpenAI トークンは $OAI というトークン記号で表示されることも明示しています。本ブログ発行時点において、OpenAI は暗号通貨トークンの運用を開始しておらず、Ethereum ブロックチェーンで $OAI の記号を使用するどのトークンも OpenAI とは無関係です。
ウォレットをフィッシングサイトに接続
ユーザーは、詐欺師の言う OpenAI トークンを「要求」するために、「ここをクリックして要求」と表示されたボタンをクリックするよう指示されます。クリックすると、ユーザーのウォレットとこのウェブサイトを接続するオプションが表示されます。自分のウォレットと分散型アプリ (dApp) を頻繁に接続する暗号通貨ユーザーなら、 このプロセスをよく知っています。見慣れたプロセスであるがために、ユーザーはためらうことなくウォレットをフィッシングサイトに接続してしまいます。接続には、一般的なブラウザベースの暗号通貨ウォレット、MetaMask、または、170 種類以上のウォレットと dApp を接続できる WalletConnect を使用できます。
ユーザーが接続すると、フィッシングサイトはウォレットの中にある暗号通貨トークンを自身のウォレットに転送することで、非代替性トークン (NFT) も含めてすべてのトークン盗むことができます。一旦トークンが転送されると、それを取り戻せる可能性はほとんどありません。
暗号通貨ユーザーを簡単に騙せるエアドロップ
エアドロップとは、暗号通貨業界で行われるイベントの 1 つで、参加条件を満たしたユーザーにトークンが無料で配布されます。この用語はよく知られているため、ユーザーがエアドロップを楽しみにしている、または発表済みのエアドロップに参加するつもりでいる場合、あるいはエアドロップが予定されていない場合ですら、詐欺師は簡単にユーザーを騙すことができます。一例を挙げると、Arbitrum Foundation は先日、エアドロップの開催予定を発表しました。 この発表から 1 日以内に、詐欺師は早くも Arbitrum Foundation ウェブサイトのテンプレートを複製し、フィッシングサイトに組み込んでいました。
$ARB トークンのエアドロップを告知する実際の Arbitrum Foundation ウェブサイトの例
本物の Arbitrum Foundation ウェブサイトに見せかけたフィッシングサイトの例
Coinbase も、Ethereum 向けレイヤ 2 スケーリングソリューションである Base の運用開始を発表しましたが、Arbitrum の場合と異なり、Base にはネイティブトークンがないことを明示していました。
1/ Important: Base is *not* a token
— Base (@BuildOnBase) 2023 年 2 月 23 日
We do not plan to issue a new network token for Base and will use ETH as the native gas token.
しかし、それでも詐欺師たちは、$BASE トークンのエアドロップを告知する Base フィッシングサイトを作成しました。
暗号通貨詐欺は今後も人気ブランドや新技術を偽装
私がこの数年で学んだことが 1 つあるとするなら、それは暗号通貨詐欺師が日和見主義者であり、注目を集めている個人やブランドを装って、Tesla トークンや SpaceX トークンなど偽のトークンのほか、様々な偽の景品を勧めてくるということです。 OpenAI の偽装や偽の OpenAI トークンのプロモーションでも、このトレンドは維持されています。
GPT-4 や ChatGPT、暗号通貨、ブロックチェーンに関心のあるユーザーにとって最も重要なことは、暗号通貨の無料配布やトークンのエアドロップに関しては、常に強い懐疑心を持って行動するということです。こうしたウェブサイトにご自身のウォレットを接続する前に、必ず自分自身で調査を行って (DYOR) ください。
関連記事
- Research
- Exposure Management