信頼済みプラットフォームとAIが生み出す信頼感を悪用し、ユーザーを騙して悪意のあるコマンドを実行させ、企業の認証情報を露出させた7週間にわたるキャンペーンを研究者らが追跡
脅威アクターが、Google広告、GitLabページ、Claudeの共有チャット機能といった信頼性の高いプラットフォームを悪用し、ユーザーを騙して自らのシステム上で悪意のあるコマンドを実行させる攻撃が確認されています。
脅威アクターは人気のあるAI開発者ツールを装い、ClickFixと呼ばれるソーシャルエンジニアリング攻撃を用いました。この手口では、被害者が自らの手で悪意のあるコマンドを実行するよう誘導されます。具体的には、PowerShellやターミナルコマンドをコピー&ペーストさせるケースが典型的だと、TrendAIの研究者らは指摘しています。
このキャンペーンでは、人気AIツールのスポンサー付きGoogle検索結果から2,000人以上の被害者を悪意のあるダウンロードページへと誘導し、さらに攻撃チェーンの別段階としてclaude.aiの共有チャット機能を利用しました。
このキャンペーンは、脅威アクターが広く利用されているAIプラットフォームへの信頼を悪用し、ソーシャルエンジニアリング攻撃をより説得力のある、検知が困難なものへと進化させている実態を示しています。
6段階キャンペーンの詳細
不審なドメインや偽のダウンロードサイトに依存する従来型マルウェアキャンペーンとは異なり、この攻撃チェーンはほぼ完全に正規のサービスで構成されていました。脅威アクターはGitLabページ上で92件の固有の悪意あるホスト名を使用し、ChatGPT Codex、Perplexity、Cursor IDE、JetBrains、Claude AI、claude.aiといった正規ブランドを騙ったほか、Macユーティリティ詐欺の囮ページも同時並行で展開しました。
このキャンペーンは7週間にわたって展開され、毎週新たなページとキーワードが追加されていきました。
第1波は4月8日〜13日の間に展開され、主要な囮サイトとしてclaude-code-app.gitlab[.]ioが使われ、claudeapp.gitlab[.]ioがこれを補助していました。同時に、Macユーティリティをテーマにした囮サイト(mac-clean-storage.gitlab[.]io、mac-guide-tool.gitlab[.]io)も展開されていたことが確認されています。この波では、単一のGoogle広告キャンペーンID(23736589328)がトラフィックの大部分を誘導していました。
4月14日〜21日にかけての第2波では、Claudeをテーマにした新たなバリエーション(gitlab.ioドメインのclaude-tool-app、claud-desktop-app、claudesktop、claude-desktop-apps)が加わりキャンペーンが多様化し、Macユーティリティの囮サイト(macsupp-group、macsupp-usb、jetbrains-apps-group)も拡張されました。
第3波では、perplexity-platform.gitlab.ioとchatgpt-codex.gitlab[.]ioが加わりブランドの詐称が拡大され、claude-desktop-lm.gitlab[.]io とcladesktop.gitlab[.]ioも新たに作成されました。
4月29日〜5月5日の第4波では、運営者はcodexgpt.gitlab[.]io、chatgpt-codex-app.gitlab[.]io、chatgpt-codex-lm.gitlab[.]ioを用いてChatGPTとCodexのブランド偽装へと大きく軸足を移し、Claudeをテーマにした攻撃も継続されました。
5月6日〜14日の第5波では、脅威アクターはキャンペーンの軸を自己ホスト型GitLabページから、claude.aiの正規の共有チャット機能の悪用へと移行しました。claude.aiの「共有」機能を利用して、完全に信頼されたドメイン上に永続的かつ公開アクセス可能なURLを生成し、そこにGoogle広告を通じて被害者を誘導したと研究者らは述べています。
5月21日〜6月14日の第6波では、脅威アクターはclaude.aiの共有チャット機能に完全移行していました。
専門家によると、このキャンペーンは主に開発者や技術系ユーザーを標的として設計されていたとみられています。
「ユーザーはAIツールを生産性向上のヒントや技術的アドバイスの情報源として見なすことに慣れているため、Claudeとのやり取りは信頼できるものだと感じられます。このような状況下では、AIプラットフォームを通じて有害な指示が提供された場合、ユーザーが自動的にそれに従ってしまう可能性が高くなります」と、Primus PartnersのCo-founderかつインドCEOであるDevroop Dhar氏は説明しています。
評判ベースの防御が機能しなかった理由
セキュリティ専門家は、このキャンペーンが成功した要因として、攻撃チェーンのあらゆる段階で信頼済みプラットフォームを活用し、悪意ある活動を通常のユーザー行動のように見せかけた点を挙げています。
「この攻撃チェーンが特に効果的な理由は、被害者に対して明らかに不審なものを信頼するよう求めない点にあります。代わりに、馴染みのあるブランド、正規の広告インフラ、信頼性の高いホスティング、そして多くの開発者が日常業務で使うAIプラットフォームから信頼を借用しています。これにより、ユーザーがクリックや実行の前に通常感じる心理的な障壁が低減されました」と、Ankura ConsultingのシニアマネージングディレクターであるAmit Jaju氏は述べています。
これは「トラスト・スタッキング(信頼の積み重ね)」の典型例でもあります。各レイヤーが個別に見れば正当に見えるため、チェーン全体が実際より安全に見えてしまうとJaju氏は付け加えています。
組織が通常許可し信頼しているプラットフォームを活用することで、攻撃者は悪意ある活動を通常のユーザーワークフローに紛れ込ませ、検知を著しく困難にしました。
Dhar氏はさらに、多くの場合、Google、GitLab、AIアプリケーションなどへのアクセスは組織の業務を妨げないようブロックされていないと指摘しています。評判ベースのセキュリティシステムは、対象ドメインが信頼性の高いものとして認識されているため有効に機能できず、セキュリティ担当者はユーザーの行動やアクションをより深く調査する必要があると述べています。
攻撃チェーンを断ち切るには
開発者が被害を受けた場合、その影響範囲は通常のユーザー被害よりもはるかに広くなる可能性があります。Jaju氏は、開発者のマシンにはブラウザのセッションクッキー、SSOトークン、SSHキー、Git認証情報、ソースコード、クラウドCLIトークン、パッケージマネージャーの認証情報、ローカルファイルに保存されたシークレット、そして社内ドキュメントやコラボレーションプラットフォームへのアクセス権限が含まれていることが多いと警告しています。
そこから攻撃者は、コードリポジトリ、CI/CDパイプライン、クラウド環境、コンテナレジストリ、チケットシステム、企業向けメッセージングプラットフォームへと侵入できます。セッショントークンや認証済みブラウザセッションがセキュリティスタックの一部を回避するのに十分なため、パスワードを盗む必要すらない場合もあります。
このキャンペーンが信頼済みプラットフォームに大きく依存していたとはいえ、組織は複数の地点で攻撃を阻止できます。
Dhar氏は、まず理解すべき点として、すべてのサイバー攻撃が必ずしも悪意あるソフトウェアを必要とするわけではないことを挙げています。昨今、被害者自身にアクションを実行させようとする攻撃者が増えています。そのため、不要な管理者権限の制限、シェルおよびPowerShellの実行監視、不審な行動の検知などが対策として有効だと述べています。また、開発者のPCは高いアクセス権限を持つため、特別に監視が必要な場合があると指摘しています。
制御の観点からは、企業はローカル管理者権限を制限し、開発者エンドポイントに最小権限の原則を適用すべきだとJaju氏は述べています。また、可能な限り開発者環境をセグメント化し、高リスクなブラウジングを特権を持つエンジニアリングワークフローから分離することも重要だと付け加えています。
