AI開発ツール検索者を狙うマルウェア攻撃、Google広告経由で偽ページへ誘導

同社によると、攻撃者はGoogle広告を利用し、AI関連開発ツールを検索する利用者を偽ページへ誘導した。標的となったブランドには「Claude AI」「ChatGPT Codex」「Perplexity AI」「Cursor IDE」「JetBrains」などが含まれる。複数の誘導テーマを同一基盤で運用していた可能性が示された。

ClickFixは利用者自身にコマンド実行を促すソーシャルエンジニアリング手法とされる。攻撃者は問題解決や製品導入作業を装い、PowerShellやターミナル用コマンドの貼り付けと実行を促す。AI関連開発ツールを探している技術者層はコマンドライン操作に慣れているケースが多く、攻撃成功率向上を狙った標的選定だったとみられる。

攻撃初期段階では「GitLab Pages」が使われていた。攻撃者は92件の悪性ホスト名を構築し、正規サービスであるgitlab.io配下に偽サイトを設置した。信頼性の高いドメイン上で運用することで、利用者や防御製品による判別を困難にした。偽サイトは短期間で多数生成され、検知や遮断への対応を回避していた。

攻撃の流れは、利用者がAIアシスタント関連語句を検索する段階から始まる。広告経由でClaudeのチャットへ誘導された利用者には、「Apple Support」や「Corda Team」を名乗る画面が表示される。そこではターミナルを起動し、指定コマンドを実行するよう案内される。

Trend Microが調査したところ、提示されたコマンドは外部サイトからスクリプトを取得し実行する内容だった。取得されたプログラムはまずmacOS環境を確認し、ロシア語キーボードや入力方式の有無を調査する。条件に該当しない場合、macOSデバイスを標的とする情報窃取型マルウェアのMacSyncを取得して実行する仕組みだった。

MacSyncはWebブラウザ認証情報やCookie、SSH鍵、暗号資産ウォレット関連ファイルを収集し、外部サーバへ送信する機能を持つ。Trend Microは共有チャットURLのうち少なくとも45件を確認しており、特定URLには55件のアクセスが集まっていた。

地域別にみると、アジア太平洋地域からの誘導アクセスが67.4％を占めた。台湾は772件で全体の30.5％に達し、日本は201件、シンガポールは188件だった。攻撃の第5波以降はインド、フランス、イタリアでもアクセス増加が確認され、広告配信地域が拡大したことが示唆された。

Trend Microからの連絡を受けたAnthropicは調査を実施し、関連アカウントの停止と悪用された共有チャットの無効化を実施した。共有チャット機能への追加的な不正利用対策も導入中としている。

Trend Microは、AI利用拡大に伴い、攻撃者がAIサービスへの信頼を悪用する事例が増えると指摘している。同社は開発者への教育、異常なコマンド実行の監視、検知機能の導入を企業・法人に呼びかけている。エンドユーザーには広告経由ではなく公式サイトから製品を入手することや、内容が判読しにくいコマンドの実行を避けることなどを推奨している。