ChatGPTの「共有」が武器に：巧妙化するマルウェア配信の実態

この攻撃の本質的な「革新性」は、マルウェアそのものの性能ではありません。その配信メカニズムにこそ、真の脅威が潜んでいます。最初のフィッシングページを正規のchatgpt.comのURL上にホストすることで、攻撃者は人間の疑念と自動化されたURLレピュテーション（評判）フィルターの両方を回避します。アドレスバーにはchatgpt.comと表示され、おなじみの鍵アイコンも確認できます。この強力な「代理信頼（トラスト・バイ・プロキシ）」効果により、その後の不正ドメインへのリダイレクトがはるかに成功しやすくなるのです 。

氷山の一角：AIを悪用する攻撃の世界的な広がり

LLMShareキャンペーンは、単独で発生したわけではありません。これは、2025年後半からセキュリティ研究者が追跡してきた、攻撃者がAIプラットフォームの共有機能を感染経路として悪用し始めたパターンの最新のエスカレーションです。

2025年12月、Kasperskyの研究者たちは、ChatGPTの共有機能を悪用してmacOSユーザーにAMOSインフォスティーラーを拡散するキャンペーンを発見しました。攻撃者は、偽の「Atlasブラウザ」のインストールガイドをプロ並みの見た目で作成し、それを公開されたChatGPTの会話として公開しました。何も知らないユーザーがガイドに従うと、ターミナルでコマンドを実行させられ、マルウェアがインストールされてしまいます 。2026年初頭までに、同様の手口はDeepSeekなど他のAIプラットフォームにも拡散し、攻撃者は「Macのディスク容量を空ける方法」といった日常的なトラブルシューティングを検索するユーザーを標的にしています 。

この傾向は、共有チャットの悪用だけにとどまりません。2025年7月から2026年2月にかけて、セキュリティ研究者は、商用AIチャットボットのインフラを主要な指令・制御（C2）チャネルとして使用するマルウェアファミリーが実際に使用されているのを初めて確認しました 。ChatGPTの生産性向上ツールを装った少なくとも16の悪意あるChrome拡張機能が、約束された機能を提供するのではなく、ログイントークンを盗み出していたことも判明しています 。Googleの脅威分析グループ（Threat Intelligence Group）は、実行中に大規模言語モデル（LLM）を使用して動的に挙動を変化させる「PROMPTFLUX」や「PROMPTSTEAL」といったマルウェアファミリーを特定しました。これはGoogleが「マルウェアにおけるジャストインタイムAI」と呼ぶものです 。

国家に関連するアクターの関与も確認されています。OpenAIは、ロシア、北朝鮮、中国に関連するグループがChatGPTをマルウェア開発やフィッシングキャンペーン、世論工作に悪用しようとする、組織的な活動を複数回妨害したことを明らかにしています 。CrowdStrikeの2025年脅威ハンティングレポートでは、攻撃者が現在「AIを大規模に武器化」して攻撃を加速し、認証情報を盗み、マルウェアを展開していると指摘しています 。

攻撃の背後にあるマルウェアファミリー

LLMShareキャンペーンの被害に遭ったWindowsユーザーに配信されるペイロードは、ブラウザに保存されたパスワードやCookie、認証トークンを盗み出すように設計された、従来型の認証情報窃取型マルウェアです。一方、macOSユーザーにとっての脅威はより複雑です。

Odyssey Stealerは、macOS向け情報窃取型マルウェアの進化系統の中でも、複雑な系譜を持つ一派です。その起源は、2024年から2025年初頭にかけて猛威を振るったAtomic Stealer（AMOS）の派生型であるPoseidon Stealerに遡ります。その後、AMOSコードベースの開発に携わっていた「Rodrigo」または「Rodrigo4」として知られる脅威アクターによって、リブランドと大規模なアップグレードが施されました 。このリブランドは、Appleのセキュリティ防御を回避するための重要な技術的アップグレードを伴っており、難読化されたAppleScriptペイロードや、システム再起動後も生き残る永続化メカニズムが含まれています 。

Malware-as-a-Service（MaaS）プラットフォームとして、Odysseyはアフィリエイトモデルで運営されています。中核的な開発者がマルウェアとC2（指令・制御）インフラを維持し、独立したオペレーター（アフィリエイト）が収益の一部と引き換えに利用権を借り受ける仕組みです 。このマルウェアは特に幅広い暗号資産関連ソフトウェアを標的としており、Censysの研究者は203種類ものブラウザウォレット拡張機能に加え、デスクトップの暗号資産アプリケーションも標的であることを特定しています 。

Red Canaryの脅威検出データによると、Atomic Stealerは2025年を通じて最も流行したmacOSスティーラーの地位を維持し、Odyssey StealerもPoseidonからのリブランドおよび再リリース後、同程度の普及率を達成しました 。両ファミリーは一貫して、Appleユーザーを狙う最大の脅威の上位にランクインしています 。

なぜ防御が難しいのか

LLMShareを支える「代理信頼」の手法は、従来のセキュリティ防御にとって根本的な課題を突きつけています。最初のランディングページは、正規かつ広く信頼されているOpenAIのドメイン上でホストされています。ドメインの評判だけに依存するURLフィルタリングシステムは、chatgpt.comを確認すると接続を許可してしまいます。ページの内容を検査するより高度なツールでさえ、OpenAIブランドのサービス通知のように見えるページを不審なものとして警告できない可能性があります 。

この攻撃は、メールによるフィッシングや悪意のある添付ファイル、あからさまなソーシャルエンジニアリングを一切使用していません。被害者を、公式のOpenAIページに見える場所へ送り込むために、完全にGoogleの広告プラットフォームに依存しています。悪意のあるリダイレクトが発生する時点で、ユーザーはすでに訪問中のドメインを信頼しきっているのです。同様のキャンペーンを調査したHuntressの研究者たちは、これらの攻撃が「検索、クリック、コピー、ペースト」という日常的な4つの行動だけで成功すると指摘しています 。

セキュリティチームにとって、防御には階層的なアプローチが必要です。人気サービスを偽装した不審なGoogle広告の監視、既知の不正リダイレクト先ドメイン（例：openew[.]app）のブロック、そして何よりも、ユーザーがドメイン単体ではなく、共有されたChatGPTの会話の「内容」そのものを確認するよう教育することが、極めて重要な対策となります 。プラットフォーム提供者側も、正規のユースケースを損なわずに共有機能の悪用を防ぐガードレールの実装というプレッシャーに直面しています 。

LLMShareキャンペーンは、フィッシング戦術における変曲点を示しています。主要なAIプラットフォームにユーザーが寄せる信頼を武器化することで、攻撃者は従来のフィッシングメールよりも効果的で、従来型の防御策では捕捉が困難な配信メカニズムを発見しました。AIプラットフォームが拡大し、その共有機能がさらに高度化するにつれて、攻撃対象領域は拡大する一方でしょう。