脅威アクターは、ChatGPTやClaudeといったプレミアムAIエコシステムを積極的に悪用し、巧妙なフィッシングキャンペーンを展開しています。攻撃者がこれらのプラットフォームを好む主な理由は、膨大なオーガニック検索ボリュームにあります。さらに、悪意ある行為者は統合プラグインや共有コンテンツリンクを通じて、信頼性の高い公式ドメインを悪用します。その結果、一般ユーザーはGoogle検索の上位広告に潜む詐欺を見抜けず、被害を受けるケースが増えています。こうした最新の攻撃手法による被害拡大のスピードは、劇的に加速しています。
不正なCanvas攻撃を可能にするプラグインアーキテクチャの悪用
ChatGPTに新たに導入されたCanvas機能は、ユーザーがインタラクティブなWebページのようなデジタルスペースを作成できるものです。しかし現在、悪意ある攻撃者はこの機能を悪用して、OpenAIの公式ドメインを模した偽ページを作成しています。こうした偽Canvasでは、サーバーの容量制限に達したという虚偽の警告が表示されます。そして、アクセスを継続するためにデスクトップクライアントをインストールするよう求めます。このインストール操作を実行すると、ユーザーは悪意のある実行ファイルへと誘導される仕組みです。
Canvasアタックベクターの構造的特徴
この新たな攻撃手法は、非常に危険ないくつかの特徴を備えています:
- ドメインの正規性を維持:攻撃者が公式の共有ポータル経由でコンテンツを公開するため、リンクURLには信頼性の高い
chatgpt.comドメインがそのまま表示されます。 - 広告を利用した正規性の偽装:脅威アクターはGoogle検索の上位表示枠を購入し、正規の
chatgpt.comドメインを広告に明示します。 - セキュリティソフトの回避:ブラウザのアドレスバーには正規ドメインが表示されたままとなるため、標準的なマルウェア対策ツールは当該ページへのアクセスを検知・遮断することができません。
OpenAIが膨大なエコシステム上で生成されるすべての共有リンクを実際に審査することは現実的ではありません。そのため、こうした分散型フィッシングキャンペーンはデジタル空間でさらに増殖する可能性が高いです。個人の端末における最も有効な防御策としては、強力な広告ブロック拡張機能の導入が挙げられます。
Claudeエコシステムを標的とした類似のフィッシング手口
同様に、サイバーセキュリティ研究者たちは、検索エンジンの広告ネットワークにおいてClaudeを標的とした同種の攻撃キャンペーンを確認しています。この攻撃手法はChatGPTの事例と非常に似通っています。攻撃者はclaude.aiに組み込まれた会話共有機能を巧みに利用します。まず悪意のあるダウンロードリンクを含む偽の会話コンテンツを作成し、それを正規のリソースとして広く配布します。
偽ソフトウェアを利用したリダイレクト手法
脅威アクターは、CPU-Zのような需要の高い技術系ユーティリティソフトを装ったコンテンツページを作成します。このハードウェアモニターを検索したユーザーは、検索結果上位の広告からclaude.aiがホストする偽ページへと誘導されます。その後、偽のテキストの指示に従うと、悪意のあるソフトウェアペイロードが実行される仕組みです。
Anthropicもまた、膨大な量の分散型ユーザー生成リンクをすべてレビューする運用体制を持っていません。そのため、この分散型の脅威ベクターを根本から完全に排除することは、依然として困難な課題となっています。こうした構造的な制限を踏まえると、ローカルネットワークのセキュリティを守るうえで検索エンジンの広告を完全にブロックすることの重要性が一層高まっています。
翻訳元: https://meterpreter.org/shared-ai-chat-malvertising-google-ads-malware/
