ChatGPTやClaudeになりすます新手の詐欺、その手口とは？　マイクロソフトが2026年の最新脅威を公開

1. ChatGPTを装う「サブスクリプション更新」フィッシング（2026年5月5日検知）

攻撃者は、ChatGPTの有料プラン「ChatGPT Plus」の偽の更新通知を使い、7日以内に支払い情報を更新しなければアカウントがダウングレードされると脅迫した 。

• 規模と標的： 最初の一波は南アフリカの利用者をターゲットに4,500通のメールが送信された。さらに、同じインフラを使った大規模な並行キャンペーンでは、スイス、オーストリア、南アフリカの高等教育機関や専門サービス企業に対し、1日で最大10万通ものメールが送りつけられている 。
• 手口： この攻撃では多段階のリダイレクト機構が用いられた。「支払い情報を更新」するためのリンクをクリックした被害者は、まず正規のCRMプラットフォーム、次にAmazonの追跡ドメイン、そしてURL短縮サービスを経由させられた後、最終的に改ざんされたECサイトへと誘導された。このサイトでは、複数のページにわたって個人情報とクレジットカードの全詳細情報が盗み取られる仕組みになっていた 。

2. Claudeを装う中間者攻撃（AiTM）（2026年4月20日〜22日）

この極めて高度な認証情報窃取キャンペーンは、Anthropicを装うことで多要素認証（MFA）の突破を試みた 。

• 規模と標的： 被害は2,000以上の組織に及び、その内訳は米国が62％、英国が18％、インドが9％だった。金融サービス業界だけで、全標的の8％を占めている 。
• 手口： 被害者には、「利用規約違反への異議申し立て」を促すメールが届き、「Fill and Sign Claude Appeal Form.pdf」（SHA-256: 791efb...d40e）という名前のPDFファイルが添付されていた 。このPDFに記されたリンクを開くと、Cloudflareの認証画面、偽のClaudeブランドのランディングページを経て、最終的に巧妙に偽装されたMicrosoftのサインインページへと誘導される。このページで、攻撃者はセッショントークンを傍受することに成功する。これが「中間者攻撃（AiTM：Adversary-in-the-Middle）」と呼ばれる古典的な手口であり、これによりパスワードだけでなく、MFAまでもが無効化されてしまうのだ 。

3. DeepSeek V4になりすました偽GitHubリポジトリと情報窃取マルウェア（2026年4月24日）

このキャンペーンは、攻撃者がAIの話題性をいかに迅速に悪用し、高度な知識を持つ技術者層を標的にできるかを浮き彫りにした 。

• スピードと規模： DeepSeekが次世代モデル「V4」の概要を公表してからわずか45分後、攻撃者は「DeepSeek-V4」という名称の偽のGitHub組織を作成。本物と見紛うような盗用ブランド素材や、正確なベンチマークデータで偽装を施した 。この偽リポジトリは、たったの4日間でBing検索の「DeepSeek v4 weights github」などのキーワードで検索結果1位を獲得し、91もの「スター」を集めた 。
• ペイロード： このリポジトリで配布されたアーカイブファイルにはローダーが仕込まれており、これがVidarインフォスティーラーをインストールする仕掛けだった。このマルウェアは、端末に保存された認証情報やブラウザのCookie、そして暗号資産ウォレットのデータを狙う 。さらにマイクロソフトは、このローダーと同一のハッシュ値を持つファイルが、「GPT-5.5」や「Claude Code」、「Manus AI」といった、当時話題となっていた別のAIツールを装ったファイルにも使い回されていたことを確認。話題に合わせて“餌”を使い分ける攻撃者の戦略が明らかになった 。

4. 不正なコード署名を悪用した「Storm-3075」によるマルバタイジング（2026年3月〜5月）

「Storm-3075」として追跡されている初期アクセスブローカー（※）によるこのキャンペーンでは、悪質なオンライン広告（マルバタイジング）を利用し、大規模にマルウェアがばら撒かれた 。

※ 初期アクセスブローカー（IAB） とは、企業などのシステムへ不正に侵入する方法を専門に販売するサイバー犯罪集団のことです。

• 規模と標的： 2026年3月13日のわずか1日で、あるキャンペーンは無料映画ストリーミングサイト上の悪質なポップアップ広告を通じ、66,000台以上のデバイスを標的にした。ここでは「Awesome AI Windows Plugin」や「Flux Pro AI」といった架空のAI関連製品が宣伝されていた 。
• 手口： 配信されたマルウェアは、**「Fox Tempest」**と呼ばれるマルウェア署名代行サービスによって不正に取得された、正規のデジタル署名が付与されていた。これにより、一見安全なソフトウェアに見せかけ、OSの信頼チェックを回避していたのだ 。2026年5月19日、マイクロソフトは米・ニューヨーク南部地区連邦地方裁判所でFox Tempestに対する法的措置を公開し、そのウェブサイトを差し押さえ、サービスを稼働させていた数百台の仮想マシンを停止させた 。

AIブームに乗じる、巧妙な詐欺のエコシステム

これら4つのキャンペーンは単発の事象ではない。互いに関連し合い、再利用可能で高度なツールキットを備えた、広範なAIテーマ詐欺のエコシステムを形成している。

• 多段階リダイレクト： 攻撃者は、CRM（顧客管理システム）やURL短縮サービス、クラウドプラットフォームといった信頼性の高いサービスの隙間を縫うように被害者を転送し、自動検知を回避した上で最終的なペイロードへと誘導する 。
• SEOポイズニングと偽リポジトリ： DeepSeekの例が示すのは、サプライチェーン攻撃の危険な進化だ。検索エンジン最適化（SEO）を駆使した偽のGitHubページが正当な情報源よりも上位に表示され、AIモデルの重みやコードを探す開発者や研究者を直接罠にかける 。
• マルウェア署名のサービス化： Fox Tempestに対する法的手続きは、犯罪インフラのプロ化を如実に示している。複数の攻撃者に不正なコード署名証明書を提供し、無署名のマルウェアにあたかもOSレベルで安全であるかのような「お墨付き」を与えていたのだ 。
• 入れ替え可能なルアー（おとり）： 単一のローダーが、GPT-5.5やClaude Code、Kimi、Manus AIといった異なるAIモデル名のファイルとして再利用された事実は、攻撃者が、その時々で最も世間の関心を集めているAIツールに合わせて即座にキャンペーンを適応させている証左である 。

なぜこの変化が重要なのか

AIブランドを餌にする手口は、マイクロソフトの分析によれば「サイバー犯罪グループから国家主体に至るまで、脅威アクターが長期的に使い続ける戦術として定着する可能性が高い」ソーシャルエンジニアリングの進化形だ 。これは、偽の請求書や配送通知といった従来型のフィッシングを置き換えるものではない。しかし、AIプラットフォームが築き上げた巨大な信頼と好奇心の上に成り立つ、強力な新たな攻撃対象領域を生み出している。そして、多くの組織のセキュリティ意識向上トレーニングは、まだこのリスクに十分対応できていないのだ 。DeepSeekのケースで明らかになった開発者への標的化は特に憂慮すべきだ。これは、これらのAIモデルを基盤として構築される、無数の企業アプリや内部ツールの上流に位置する、サプライチェーンリスクの深刻さを指し示しているからである 。