2025年、ChatGPTやDALL·Eになりすましたクローンアプリが急増。Google PlayやApp Storeから偽アプリをインストールすると、連絡先やSMS、ワンタイムパスワードが盗まれ、金銭詐欺に利用される恐れがあります。Kaspersky調査では115%増加。
2025年、OpenAIのChatGPTやDALL·Eを名乗る偽AIアプリがGoogle PlayやApp Storeなどの公式ストアで急増している。調査企業Appknoxは、無害なラッパー、広告収集型アドウェア、そしてWhatsApp Plusなど偽造証明書と難読化コードを使ったスパイウェア型マルウェアまで、幅広いリスクがあると報告している。
パッケージ名「com.openai.dalle3umagic」はMalwarebytesによりアドウェア、「com.wkwaplapphfm.messengerse」はAndroid/Trojan.Agent.SIB0185444803H262として検出された。偽のAIアプリは情報収集やSMS傍受、クラウドサービス経由で犯罪者にデータ送信を行っている。
Malwarebytesなどのセキュリティソフトは、これらの脅威排除機能を提供している。
From: 
Attack of the clones: Fake ChatGPT apps are everywhere
【編集部解説】
2025年11月現在、AIブームに乗じた「クローンアプリ」が急速に増殖しており、モバイルユーザーへの脅威が劇的に高まっています。OpenAIやDALL·Eなど、信頼度の高いブランドを装うアプリが公式ストアに侵入する事態は、もはや珍しくありません。技術リテラシーの高い層にとっても、この脅威は無関係ではありません。
本記事で特に注目すべきは、偽アプリのリスク分布が「単純なコピー」から「高度なスパイウェア」まで多層的に存在する点です。Appknoxの調査によれば、これらのクローンは三つのカテゴリに大別されます。第一が無害なラッパー型。正規のAI APIに接続しながら広告やテーマを追加したもので、プライバシー問題は生じても直接的な被害は少なくありません。第二がアドウェア型で、実際にはAI機能を提供せず、ユーザーデータを広告主に転売する詐欺的モデルです。パッケージ「com.openai.dalle3umagic」がこれに該当し、Malwarebytesによって検出されています。
最も危険なのが第三のスパイウェア型です。WhatsApp Plusのような改変アプリは、偽造証明書と難読化コードを用いてマルウェアをシステムレベルで潜伏させます。インストール後、連絡先の抽出、SMSメッセージの傍受(ワンタイムパスワードを含む)、そしてクラウドサービス経由での犯罪者への自動送信が行われ、金銭詐欺や認証突破に利用されるのです。パッケージ「com.wkwaplapphfm.messengerse」はこの典型例です。
このクローンアプリ問題は2025年の大きなトレンドです。Kaspersky調査によれば、早期の2025年段階でChatGPT風のマルウェアは前年同期比115%増加し、約8,500人のSMBユーザーが被害を受けています。特に注目されるのは、デスクトップ環境のクローンアプリまで登場している点。Microsoft警告によれば、GitHub上のChatGPT Desktop正式版を改変し、PipeMagic(ランサムウェア関連の高度な脅威)を仕込んだ亜種が流通しており、Windows CLFS環境(CVE-2025-29824)の脆弱性を悪用しています。
innovaTopiaの読者層は、デスクトップからのアクセスが7割を占める職種・立場のプロフェッショナルです。そうした皆さんにとって、AI導入による生産性向上は喫緊の課題ですが、同時にこうした高度なマルウェアの餌食になるリスクも増しています。特に企業の開発環境やAPI統合フローの中に偽アプリが混入した場合、被害範囲は個人レベルに止まりません。SMB層での被害数の激増は、「AIツール導入の際の初期検証」が不十分なまま、実行環境に取り込まれているケースが多いことを示唆しています。
規制面でも課題が浮き彫りになっています。Google PlayやApp Storeは事後的に悪質なアプリを削除する仕組みを持つものの、完全な防止には至っていません。。これはプラットフォーム企業の審査体制における根本的な限界を示しています。
未来志向のリーダー層である皆さんにとって、重要なのは「AI導入時の初期判断」です。正規チャネルの徹底確認、開発者情報の厳密な照合、企業セキュリティソリューションの並行導入といった層防御が不可欠です。クローンアプリの進化速度を踏まえると、「信頼できるセキュリティベンダーとのパートナーシップ」は、もはやオプションではなく、AI時代の基盤インフラとなりつつあります。
【用語解説】
APIラッパー型アプリ
正規のサービスが提供する公開API(アプリケーションプログラミングインターフェース)に接続し、その上に独自の機能やUIを追加したアプリケーション。本体のサービスに依存しているため、通常は情報流出よりもプライバシーやデータ利用の透明性が問題となる。
アドウェア
ユーザーの同意なしに過剰な広告を表示し、端末のリソースを消費したり、ユーザー行動データを収集・転売する不正なソフトウェア。直接的な金銭被害は生じないことが多いが、データ漏洩の入り口となる。
スパイウェア
ユーザーの操作や個人情報を無断で収集し、攻撃者に送信する悪質なソフトウェア。連絡先、メッセージ、金融情報の盗聴が可能。
難読化コード
ソースコードを意図的に複雑化・暗号化し、逆アセンブルや解析を困難にする技術。マルウェア開発者がセキュリティソフトの検知を回避するために用いる。
ワンタイムパスワード(OTP)
認証時に1回限りの使用で失効するパスワード。銀行口座やSNSなどの二段階認証で一般的。このOTPをSMS傍受で盗聴されると、本人確認を偽装される。
Appknox
インドのモバイルセキュリティ企業。アプリの脆弱性診断とセキュリティテストを専門とし、iOS・Android双方のマルウェア分析を行っている。
Google Play・App Store
Androidおよびアイフォン向けの公式アプリ配布プラットフォーム。各社による事前審査を経て配信されるが、完全には悪質アプリを防止できないのが実態である。
Kaspersky
ロシアに本拠を置く大手サイバーセキュリティ企業。ウイルス対策ソフトウェアとして知られ、グローバルなマルウェア統計データを公開している。
Malwarebytes
米国のマルウェア検出・駆除専門ツールとして知名度が高いセキュリティベンダー。検出したマルウェアのパッケージ名を分類・公開している。
クローンアプリ
既存の著名なアプリを模倣し、類似した見た目や機能を持たせたアプリ。正規版を装って配布される場合が多く、マルウェア配布の手段として悪用される。
WhatsApp Plus
インドなどで流通する非公式の改変版WhatsApp。AI機能を装いながら、実際にはスパイウェアを含む亜種が確認されている。ユーザーをだまして情報盗聴を行う危険性が高い。
【参考リンク】
OpenAI(外部)
ChatGPTを開発・提供する米国企業。本記事で言及される「正規のChatGPT」はOpenAI公式版のみ。
Malwarebytes(外部)
マルウェア検出・駆除ツールの提供企業。本記事の調査元で、検出したマルウェアのパッケージ情報を公開。
Google Play(外部)
Google公式のAndroidアプリストア。記事内で言及される偽アプリの主な配布元となっている。
Apple App Store(外部)
Apple公式のiOSアプリストア。iOS版の偽アプリ流通の実態も本記事で触れられている。
Kaspersky(外部)
ロシア発祥のサイバーセキュリティ企業。ChatGPT模倣型マルウェアの流行統計を報告した機関。
【参考記事】
ChatGPT-Mimicking Cyberthreats Surge 115% in Early 2025(外部)
2025年上半期、ChatGPT風の脅威が前年同期比115%増加し、約8,500人のSMBユーザーが被害を受けた事実を報告。
Attackers using fake ChatGPT and Office tools(外部)
複数のセキュリティベンダーが報告する、ChatGPTなどを装ったマルウェア配布事例の実態を整理。
Beware of Fake ChatGPT App Spreading PipeMagic(外部)
GitHub改変版がPipeMagicを仕込んでいることをMicrosoftが警告。デスクトップ環境への浸透状況。
Hundreds of Malicious Google Play-Hosted Apps(外部)
2025年3月、6,000万超ダウンロードの180以上の悪質アプリがGoogle Play経由で流通。審査体制の限界を示す。
Fake ChatGPT Apps and Websites Alert(外部)
セキュリティベンダーによる偽ChatGPTアプリの識別方法と報告体制についてのガイドライン資料。
【編集部後記】
AIツール導入の波が急速に進む中、「本物を選ぶ眼」がこれほど大切な時代はありません。私たちも皆さんと一緒に、生産性を高めるテクノロジーと安全性のバランスをどう取るか、試行錯誤を続けています。
正規チャネルの確認、レビュー欄の丁寧な読み込み、そして何か違和感を覚えたときの勇気ある判断——これらは決して面倒なプロセスではなく、未来のテクノロジーをより自由に使いこなすための投資です。皆さんの経験や気づきを、ぜひ教えていただきたいです。
