LayerXのリサーチャーは、カスタムフォントを悪用したフィッシング手法を指摘しています。それは、AIアシスタントには無害なページに見せかけながら、ユーザーの目には全く別のフィッシングサイトを表示させるというものです。
リサーチャーは次のように説明しています。「AIアシスタントが解析するHTMLデータと、ブラウザ上でユーザーが目にするページとの間には、構造的なギャップが存在します。特定の条件下では、AIは不正確で、時には危険を伴う回答を導き出すおそれがあります。攻撃者はこの盲点を突き、ソーシャルエンジニアリング攻撃を仕掛けています。」
「カスタムフォントやCSSを使えば、DOM(HTMLの構造)は変えずに、見た目のテキストだけを自由に差し替えられます。その結果、ユーザーが見る内容は土台のHTMLとは別物になり、データとしては存在していても、ユーザーの目には実質的に届かなくなります。 この見え方のギャップが、攻撃の入り口となります。」
LayerXはこの手法を偽のClickFixフィッシングページで検証し、すべてのブラウザアシスタントが脅威を見抜けなかったと報告しています。
リサーチャーは次のように述べています。「私たちは、一見するとゲームブログにしか見えない概念実証(PoC)ページを作成しました。しかし、実際にブラウザで表示されると、そこにはユーザーを誘導してリバースシェルを成立させるための手順が表示されるようになっています。」
「そのページが安全かどうかを尋ねたところ、私たちが検証したすべてのエージェント以外のアシスタント(ChatGPT、Claude、Copilot、Dia、Fellou、Gemini、Genspark、Grok、Leo、Perplexity、Sigma)が隠されたテキストを検出できず、そのページにセキュリティ上の懸念はないと自信を持って回答しました。」
この手法に対しては、今も多くのAIツールが脆弱であるため、ユーザーはフィッシング攻撃の可能性を常に意識しておく必要があります。
LayerXは次のように述べています。「LayerXは、今回の調査で影響が確認されたすべてのベンダーに連絡を取りました。しかし、Microsoftを除くすべてのベンダーが、これはソーシャルエンジニアリングに類するものであり、彼らが定義する『AIモデルのセキュリティ』の範囲外であると回答しました。これは、AI側が保証するセキュリティの範囲と、ユーザーが守られていると期待する範囲との間に、大きな乖離があることを改めて浮き彫りにしています。」
KnowBe4は、従業員一人ひとりが日々の業務において、より的確なセキュリティ判断を下せるよう支援します。現在、世界で7万社を超える組織がKnowBe4のHRM+プラットフォームを信頼し、セキュリティ文化の醸成とヒューマンリスクの低減を実現しています。
詳細については、LayerXの記事をご参照ください。
原典:KnowBe4 Team著 2026年3月27日発信 https://blog.knowbe4.com/custom-fonts-can-trick-ai-assistants-into-approving-phishing-sites