結論:AIが答えた「実在しないURL」を、攻撃者が先回りで買っている
Palo Alto Networksの脅威リサーチ部門Unit 42が2026年6月30日、「ファントムスクワッティング(Phantom Squatting)」と名付けた新しい攻撃手法の調査結果を公開しました。生成AI(LLM)が実在ブランドについて回答する際に、もっともらしいが実在しないドメイン(幻覚ドメイン)を生成することがあり、攻撃者がそのドメインを先回りで登録して、AIの回答を信じてアクセスしてきた利用者を待ち伏せする——という構図です(出典:Palo Alto Networks Unit 42「Phantom Squatting: AI-Hallucinated Domains as a Software Supply Chain Vector」、2026年7月3日閲覧)。
影響を受けるのは、AI検索・チャットAI・AIコーディング支援を使うすべての企業です。調査では913のグローバルブランドに対して68万5,339件のURLクエリを実行し、約25万件の幻覚ドメインが未登録のまま「攻撃者がいつでも取得できる空席」として残っていることが確認されました。次に確認すべきことは一つ。自社のAI利用ガイドラインに「AIが提示したURLをそのまま開かない・使わない」というルールが入っているかどうかです。入っていなければ、この記事のチェックリストをそのまま周知に使ってください。
FREE CONSULTATION
この記事の内容について、専門家に相談できます
AI・DX・セキュリティに関するご質問やお見積もりなど、お気軽にお問い合わせください。
何が起きているのか:幻覚を「買う」という発想
タイポスクワッティング(打ち間違いを狙った偽ドメイン)は昔からある手口ですが、ファントムスクワッティングは狙う対象が違います。人間のミスではなく、AIの出力の癖を狙います。攻撃の流れは次の3段階です。
- 観測:攻撃者がLLMに「〇〇社のログインページは?」「△△のSDKのダウンロード先は?」といった質問を大量に投げ、AIが再現的に生成する「実在しない偽ドメイン」を収集する
- 先回り登録:まだ誰も所有していないその偽ドメインを、攻撃者が正規料金で登録する
- 待ち伏せ:後日、同じ質問をした一般利用者や、AI生成コードをそのまま使った開発者が、AIの回答を信じてそのドメインへアクセスし、フィッシングページやマルウェア配布サイトに着地する
広告出稿もメール送信も不要で、「AIの回答」という信頼の器に攻撃者が中身を入れるだけでフィッシングが成立する点が新しいところです。Unit 42は、AIコーディング支援を使って「Montana Empire」と呼ばれるフィッシングキット一式を構築した攻撃者の実例も報告しています。このキットが使ったドメインは、Unit 42の検知パイプラインが23日前に「幻覚されやすい高リスクドメイン」として特定していたものでした。報告書全体では、攻撃者の登録に対して18〜51日先行して悪用を予測できたとされています。
調査の数字を読む:25万件の「空席」と1.3万件の「既に埋まった席」
Unit 42の調査規模と結果を整理します(出典:前掲Unit 42レポート、2026年7月3日閲覧)。
| 項目 | 数値 | 意味 |
|---|---|---|
| 調査対象ブランド | 913 | 技術・金融・医療・EC・政府系など複数セクター |
| 実行したURLクエリ | 685,339件 | 2種類のLLMを複数の設定で試行 |
| 生成されたユニークURL | 約210万件 | 実在・非実在を含む全出力 |
| 悪性と判定済みのURL | 13,229件(0.61%) | 脅威インテリジェンスで既知の悪性——既に攻撃に使われている |
| 高リスク分類のURL | 41,313件(1.90%) | 悪性確定ではないが危険度の高い分類 |
| 未登録の幻覚ドメイン | 約250,000件 | 攻撃者が今後取得可能な「空席」 |
比率だけ見れば悪性は0.61%ですが、率で安心してよい話ではありません。母数が大きいため、既に1.3万件が悪性判定される規模で悪用が始まっており、さらに25万件の在庫が攻撃者側に開放されている、と読むのが実態に即しています。
なぜ「モデルの修正待ち」が通用しないのか
このレポートで実務上もっとも重要な指摘は、**クロスモデル幻覚合意(cross-model hallucination consensus)**です。異なる種類のAIモデルが、同じ質問に対して同じ架空ドメインを生成する現象が確認されています(出典:前掲Unit 42レポート、2026年7月3日閲覧)。
これは、幻覚ドメインが特定ベンダーのバグではなく、「ブランド名からもっともらしいドメイン名を推測する」という言語モデルの動作原理そのものから生まれていることを示唆します。一社がモデルを改善しても、社内で使われている別のAIツールが同じ偽ドメインを回答し続ける可能性がある。つまり、対策の置き場所はモデル側ではなく、利用側のルールとネットワーク側の防御にならざるを得ません。二次報道でもこの「LLM側でのパッチが構造的に難しい」点が新種の脅威として扱われています(出典:The Hacker News「Phantom Squatting Uses AI-Hallucinated Domains for Phishing and Malware」、2026年7月3日閲覧)。
独自分析:企業は「利用者」と「ブランド保有者」の二重に当事者になる
Unit 42の数字を日本の中堅企業の立場に翻訳すると、当事者になる入口が2つあることが分かります。
1つ目は利用者としての入口です。従業員がAI検索の回答リンクを開く、経理担当がAIに聞いた「振込先確認ページ」へアクセスする、開発者がAI生成コードに含まれるダウンロードURLやパッケージ取得先をそのまま使う——いずれも、幻覚ドメインが先回り登録されていれば着地点は攻撃者のサーバです。特に開発の現場では、生成コード内のURLは「動けば通ってしまう」ため、レビューで見落とされやすい。Unit 42がこの手法を「ソフトウェアサプライチェーンの攻撃ベクトル」と位置づけているのはこのためです。
2つ目はブランド保有者としての入口です。調査対象は913のグローバルブランドですが、AIが幻覚を起こす仕組み上、自社名やサービス名を聞かれたAIが「実在しない自社風ドメイン」を答える可能性は、知名度のある企業なら誰にでもあります。その偽ドメインを攻撃者が取得すれば、自社は何も侵害されていないのに、自社の顧客がフィッシング被害に遭う。顧客からの「御社のサイトで入力したのに」という問い合わせが最初の検知になる、という嫌なシナリオです。自社ブランド+ログイン・サポート・ダウンロードなどの語で主要なAIに質問し、返ってきたURLの実在と所有者を確認しておく価値があります。
もう一点、18〜51日という予測リードタイムは防御側への希望でもあります。幻覚ドメインは再現的に生成されるため、攻撃者が登録する前に防御側が把握・監視できる。これは「事後にテイクダウンを依頼する」従来のブランド保護より一歩手前で手を打てることを意味します。
社内周知テンプレ:AIが出したURLの扱い3原則
明日の朝礼やSlack周知にそのまま使える形で、最低限のルールを3原則にまとめました。
- AIが提示したURLは直接開かない。 ログイン・決済・ダウンロードは必ずブックマークか公式サイトのトップから辿る
- AI生成コードの中のURL・パッケージ名は「実在するか」「公式のものか」を確認してから使う。「エラーなく動く」は安全の証明にならない
- AI経由で辿り着いたページでは、認証情報・決済情報を絶対に入力しない。 入力が必要なら、URLを自分で打ち直すか公式アプリを使う
あわせて、情シス・セキュリティ担当側の対応チェックリストです。
- AI利用ガイドラインに「URL・ダウンロード先の検証ルール」を追記した
- DNSフィルタリング/Webフィルタで新規登録ドメイン(NRD)へのアクセス制御を有効にした
- 開発チームに、生成コード内の外部URL・依存パッケージのレビュー観点を共有した
- 主要なチャットAI・AI検索に自社名+「ログイン」「サポート」等で質問し、回答URLの実在・所有者を確認した
- 自社ブランドの幻覚されやすいドメイン候補について、監視または防衛的取得の要否を判断した
- 従業員向けに上記3原則を周知した(周知日と対象を記録)
なお、AIツールの利用拡大は入口の数を増やします。エディタやエージェントの権限設計という隣接論点はClaude DesktopのMCPがC2化するPoCと権限設計の考え方とAIエディタCursorのゼロクリックRCEで扱っています。あわせて確認してください。
よくある質問
Q. タイポスクワッティングと何が違うのですか? A. 狙う「間違い」の発生源が違います。タイポスクワッティングは人間の打ち間違いを、ファントムスクワッティングはAIの出力の癖を狙います。後者は複数のモデルが同じ偽ドメインを再現的に生成するため、攻撃者は「どの偽ドメインにアクセスが来るか」を事前に高い精度で予測できます。
Q. AIベンダー側で修正されるのを待ってはだめですか? A. 推奨できません。異なるモデルが同じ架空ドメインを生成する「クロスモデル幻覚合意」が確認されており、一社の修正では解決しない構造です。利用ルールとネットワーク防御という自社側の対策を先に整えるべきです。
Q. 自社ブランドが幻覚ドメインに使われていないか調べる方法は? A. まず主要なチャットAI・AI検索に「自社名+ログイン/サポート/ダウンロード」等の質問を投げ、回答されたURLの実在有無とWHOIS上の所有者を確認するのが手軽な第一歩です。頻出する偽ドメイン候補が見つかったら、監視対象化や防衛的取得、レジストラ・当局への相談を検討します。
Q. 中小企業でも狙われますか? A. 利用者側のリスクは企業規模と無関係に発生します。従業員がAIの回答リンクを開く、開発者が生成コードを使う、という行動があれば入口は存在します。ブランド側のリスクは知名度に比例しますが、地域や業界で名前が通っている企業であれば無縁ではありません。
AI活用とセキュリティを別々に進めていないか
この脅威の厄介さは、「AI活用を推進する部門」と「セキュリティを守る部門」の隙間に落ちることです。AI利用ガイドラインにURL検証のルールがなく、セキュリティ教育が生成AIの利用実態に追いついていない状態では、3原則を周知しても運用は定着しません。
GXOでは、生成AIの活用推進とセキュリティ統制を一体で設計する支援を行っています。AI利用の現状と統制の穴を棚卸ししたい場合はAI導入可否アセスメントで利用ポリシーとリスクを整理できます。DNSフィルタリングや新規ドメイン対策を含むセキュリティ対策の全体設計、平時からの相談窓口として継続的に伴走する月額のセキュリティ顧問(リテイナー)もあわせてご検討ください。「AIの利用は止めたくない、でも野放しは怖い」という段階のご相談が、実はいちばん手を打ちやすいタイミングです。具体的な状況のご相談はお問い合わせフォームからどうぞ。
出典
- 一次:Palo Alto Networks Unit 42「Phantom Squatting: AI-Hallucinated Domains as a Software Supply Chain Vector」(2026年6月30日公開、2026年7月3日閲覧)
- 二次:The Hacker News「Phantom Squatting Uses AI-Hallucinated Domains for Phishing and Malware」(2026年7月3日閲覧)






