脅威アクターたちは、大規模言語モデルや生成AIへの世界的な関心を悪用し、ChatGPT・AnthropicのClaude・DeepSeekなどの主要AIブランドになりすまして、ユーザーから認証情報や決済情報を騙し取ったり、マルウェアをインストールさせたりする手口を強化しています。
これらのキャンペーンはベンダープラットフォームへの侵害ではなく、クリック率や信頼性を高めるためにAIツールをテーマにしたおとりを使った、古典的なソーシャルエンジニアリングおよびマルウェア配布の手法です。
攻撃者は、「請求情報の更新」「ポリシー違反」「アカウント申し立て」といった緊急性を煽るメッセージと、巧妙に構築されたインフラを組み合わせています。具体的には、侵害済みまたは正規に登録されたリダイレクターの悪用、CDNでホストされたリリースアセットの乱用、自動解析を妨害するCAPTCHA的なゲーティング、そして認証情報を収集するか情報窃取マルウェアを配布する最終的なランディングページが使用されています。
フィルタを回避して正当性を演出する手段として、CRMリダイレクター・URLショートナー・AWSトラッキングドメイン・GitHubリリースアセットといった信頼性の高いサービスを踏み台にするパターンが繰り返し観察されています。
大量送信の典型例として、ChatGPTを騙って「ChatGPT Plus」の支払い情報更新を要求するキャンペーンがあります。被害者は複数の正規リダイレクターを経由して、氏名・住所・クレジットカード情報をすべて収集する複数ページ構成のフィッシングキットをホストする侵害済みドメインへ誘導されます。
このキャンペーンは世界中に数万通規模のメールを断続的に送信しており、南アフリカ・スイス・オーストリアで特に集中的な攻撃が確認されています。
Microsoftの脅威インテリジェンスチームは2026年に入り複数の独立したキャンペーンを観測しています。これらはいずれも正規ブランドのなりすまし・SEO技術・マルバタイジング・多段階リダイレクトチェーンを組み合わせ、防御をかいくぐりながら情報窃取と感染を効率的に拡大させています。
Claudeを騙った別のキャンペーンでは、「Fill and Sign Claude Appeal Form.pdf」という執行通知を装ったPDF添付ファイルを使用し、受信者をCloudflareの認証でゲートされたフィッシングページへ誘導した後、最終的には認証トークンを傍受するAiTM(Adversary-in-the-Middle)方式のフローへと導きます。
悪用されるAIブランド
マルバタイジングと偽インストーラーも攻撃の規模を拡大させています。Storm-3075に帰属するマルバタイジングは、無料ストリーミングサイトのユーザーに対して悪意のある「AIプラグイン」のダウンロードを配信しました。これらのインストーラーは不正取得したコード署名証明書で署名されており、ユーザーによるチェックボックス操作を経て、VidarなどのスティーラーをフェッチするPythonベースのダウンローダーを仕込みます。
Microsoftとパートナー企業は署名証明書の失効とリポジトリのテイクダウンを実施しましたが、一部のキャンペーンでは数時間以内に数万台のデバイスへの感染が確認されており、これらの脅威インフラの高い運用効率が浮き彫りになっています。
GitHubのリリースアセットを悪用した手口は、新モデルを検索するユーザーに対して特に効果的でした。DeepSeekがV4を発表してから数時間のうちに、悪意のあるGitHub組織が「DeepSeek-V4」と称する偽リポジトリを公開しました。このリポジトリには盗用したロゴ・本物のベンチマーク表・SEO最適化されたメタデータ・7z形式のリリースアーカイブが含まれており、非常に本物らしく作り込まれていました。
検索エンジンやLLM搭載の検索ツールがこの偽リポジトリを上位に表示したため、実際にダウンローダーの実行ファイルがダウンロードされ、Vidarがインストールされる被害が発生しました。攻撃者はアーカイブのハッシュを頻繁に変更しつつ命名規則を維持することで、シグネチャベースのブロックリストをかわしながらおとりを稼働させ続けました。
これらのキャンペーンは、いくつかの技術的現実を明確に示しています。脅威アクターは新しいテーマのおとりと確立された攻撃手法を組み合わせていること、多段階リダイレクションとCAPTCHA的なゲーティングが自動検知やサンドボックス解析を妨害していることなどが挙げられます。
GitHub・CRMサービス・CDNといった信頼性の高いプラットフォームの悪用は評判ベースの保護を無効化し、Fox Tempestのようなコード署名のサービス化エコノミーはOSレベルでの疑念を低下させることでマルウェアの成功率を実質的に高めています。
防御側は、ID保護とクリック時のURLコントロールを優先すべきです。全アカウントでフィッシング耐性のある多要素認証を強制し、MFA免除の設定を撤廃してください。
あるキャンペーンでは、ユーザーは架空の製品名「Awesome AI Windows plugin」のダウンロードページへリダイレクトされました。
クリック時のURL分析機能と自動攻撃妨害機能を導入し、多段階の攻撃チェーンを断ち切ることが重要です。SmartScreen的なURLブロッキング・ネットワーク保護による悪意のあるドメインのブロック・脅威ハンティングテレメトリによる異常なリダイレクターパターンや急速なリポジトリ作成の検知など、エンドポイントおよびネットワーク保護機能を活用してください。
盗用したブランドとアーカイブリリースアセットを使ったSEO最適化済みのリポジトリが突然公開されていないか、公開コードホスティングを継続的に監視してください。プラットフォームプロバイダーや法執行機関のパートナーとのテイクダウンワークフローを整備・連携させることも不可欠です。
技術的な詳細とガイダンスについては、Microsoftの分析レポート「AI as tradecraft: How threat actors operationalize AI」、ならびにFox TempestおよびDeepSeek/GitHubの悪用事例に関する関連資料を参照してください。
Trend Micro・Zscaler・Huntressによるベンダーアドバイザリとパートナー調査でも、Vidar・GhostSocks・Lummaなどのスティーラーを配布しながらトレンドのAIツールを模倣したおとりを使い回す、同一のローテーションエコシステムの存在が確認されています。
脅威アクターがAIブランドへの信頼をスケーラブルなソーシャルエンジニアリングの手段として悪用し続ける中、警戒の徹底・迅速な攻撃妨害・ID中心の防御が引き続き最も有効な対抗策となります。
翻訳元: https://gbhackers.com/ai-brands-exploited/
