「新しいAIが出た」と聞くと、つい今すぐ試したくなる——その高揚を、攻撃者は静かに狙っています。Microsoftは、ChatGPTやClaude、DeepSeekといった人気AIブランドの名前を「餌」に使うフィッシングや偽インストーラが急増していると報告しました。AIそのものが攻撃されたわけではありません。私たちの「触ってみたい」という気持ちが、入り口にされているのです。本記事では、その手口と、安全に新しい一歩を踏み出すためのポイントを読み解きます。
Microsoft Threat Intelligence は2026年6月8日、ChatGPT、Microsoft Copilot、DeepSeek、Anthropic の Claude などのAIブランドを装うソーシャルエンジニアリング攻撃の増加を報告した。2026年5月5日に検知したChatGPT装いのフィッシングは約4,500通のうち97%が南アフリカ宛てで、最大10万通規模も観測され、クレジットカード情報を収集した。
4月20〜22日のClaude装いのフィッシングは2,000超の組織を対象とし、米国62%・英国18%・インド9%でAiTMによる認証情報窃取を狙った。3月13日には「Awesome AI Windows Plugin」を用いる Storm-3075 の不正広告が66,000台超を標的とし、Vidar Stealer を配布した。
4月24日には偽の DeepSeek V4 リポジトリが GitHub で公開され、Vidar Stealer を配布。Microsoft は Fox Tempest に帰属する1,000超の署名証明書を失効させた。
【編集部解説】
今回の報告で最初に押さえておきたいのは、攻撃者が狙っているのがAIの「技術」ではなく、AIに集まる「信頼」と「注目」そのものだという点です。これらの攻撃はサービス本体の侵害ではなく、私たちがChatGPTやClaudeというブランドに抱く期待を逆手に取っています。つまり製品が安全かどうかという話ではなく、私たちの「使ってみたい」という気持ちが攻撃面になっている、という構図です。
ここで何度か登場する「AiTM(中間者)」という言葉を補足させてください。これは攻撃者が偽のログイン画面を本物との「間」に挟み込み、入力されたIDやパスワードだけでなく、ログイン後に発行される認証トークンまで横取りする手口です。トークンを奪われると、多要素認証(MFA)を設定していても、攻撃者がその認証済みの状態ごと乗っ取れてしまう。だからこそMicrosoftはパスキーやフィッシング耐性MFAを繰り返し推奨しているわけです。
技術的に新しいのは、検索とAIまで「集客装置」として悪用された点でしょう。偽のDeepSeek V4リポジトリは、人間向けのSEOタグに加え、AI検索向けの「llms.txt」というファイルまで仕込んでいました。私たちが検索エンジンやAIアシスタントに「DeepSeek V4をダウンロードしたい」と尋ねた答えの中に、罠が混ざり込む時代に入った、ということです。
被害の射程を冷静に見ると、これは「対岸の火事」ではありません。Microsoftのテレメトリでは、Storm-3075の不正広告で感染した端末の上位国に日本が挙がっています。さらに視野を広げると、Trend Microは同じ攻撃基盤が2026年2月以降、25を超えるソフトウェアブランドになりすまし、同一のRust製情報窃取マルウェアを配布する、広域のローテーション型キャンペーンの一部だと報告しています。狙われているのは特定の一社ではなく、「いま話題のAI」という枠そのものなのです。
この「枠を使い回す」発想こそ、私が今回最も注目した点です。攻撃者は流行のAI名を札のように差し替えながら、背後の配布インフラ(GitHubのリリース機能やコード署名)は使い回します。GitHub Releasesという信頼されたチャネルを、大型のトロイ化アーカイブと使い捨てアカウントで悪用しているわけです。新製品が出るたびに即日で「偽の受け皿」が立ち上がる以上、ブランド単位で警戒する従来の発想はもう追いつきません。
ポジティブな側面にも触れておきます。今回の事案は、防御側もまた高速化していることを示しました。MicrosoftはFox Tempestに紐づく署名証明書を1,000件超失効させ、GitHubと連携して悪用リポジトリを削除しています。攻撃者がAIで速度を上げれば、防御もAIで検知・対応を自動化する——この応酬の構図が、セキュリティの新しい標準になりつつあります。
一方で、潜在的なリスクは「個人」に偏って降りかかります。署名済みマルウェアは感染初期の検知率を下げ、CAPTCHA偽装や「Continue」クリックは自動解析(サンドボックス)を妨げます。こうした仕組みは、企業の検知網よりも、無料動画サイトを見ている一般利用者の手元で発火しやすい設計です。守る仕組みは法人向けに整っても、その恩恵が個人に届くまでにはタイムラグがある——ここに私たち読者一人ひとりの注意が要ります。
規制や業界への影響という観点では、論点が「AIをどう規制するか」から「AIの名前と配布経路をどう守るか」へ広がっていくはずです。コード署名の悪用やプラットフォーム上のブランドなりすましは、AI企業だけでなく、GitHubやAmazon、Cloudflareといった正規サービスの責任分界にも関わってきます。信頼の基盤を提供する側に、悪用検知の説明責任が一段と求められる流れになるでしょう。
長期的に見れば、AIブームが続く限りこの手口は消えません。むしろ「期待される新モデルの発表日」が、そのまま「攻撃カレンダー」になっていく可能性が高い。未来の技術にいち早く触れたいというアーリーアダプターの健全な好奇心が、そのまま標的にされる時代です。だからこそ、ワクワクする気持ちと、一拍置いて公式の入手経路を確かめる冷静さ。その両方を持ち合わせることが、これからの「新しい一歩」を安全に踏み出す条件になると、私は考えています。
【用語解説】
ソーシャルエンジニアリング
人の心理や行動の隙を突いて情報を引き出したり操作したりする手口。技術的な脆弱性ではなく「人」を狙う点が特徴である。
フィッシング
正規の企業やサービスを装ったメールやサイトで、IDやパスワード、カード情報などを入力させて盗み取る詐欺手法。
不正広告(malvertising)
正規の広告枠や広告配信の仕組みを悪用し、閲覧者をマルウェア配布ページなどへ誘導する攻撃。本記事では無料動画サイト経由の事例が該当する。
AiTM(Adversary-in-the-Middle/中間者)
攻撃者が本物のログイン画面との「間」に偽の画面を挟み、IDやパスワードに加えて認証トークンまで横取りする手口。MFA設定済みでも突破され得る。
認証トークン
ログイン成功後に発行される「認証済み」を示す引換券のようなデータ。これを奪われると再入力なしで成りすましが可能になる。
多要素認証(MFA)/パスキー/フィッシング耐性MFA
パスワードに加え別の要素で本人確認する仕組みがMFA。パスキーは生体認証や端末鍵を使う方式で、偽サイトに入力させても盗まれにくいため「フィッシング耐性」が高いとされる。
llms.txt
サイトの内容をAI検索や大規模言語モデルに読み取らせやすくするためのファイル。本記事では、攻撃者がAI検索経由の誘導に悪用した点が問題視された。
SEO(検索エンジン最適化)
検索結果で上位に表示されるよう調整する施策。攻撃者は偽リポジトリを上位表示させる「悪用」目的で用いた。
インフォスティーラー(情報窃取型マルウェア)/Vidar
感染端末から認証情報、カード情報、ブラウザ履歴などを盗み出すマルウェアの総称。Vidarはその代表例である。
GhostSocks
感染端末を踏み台(プロキシ)として悪用し、攻撃者の通信を経由・隠蔽するためのマルウェア。Vidarと併せて配布される事例が確認されている。
Rust製ドロッパー
プログラミング言語Rustで作られた、本体マルウェアを呼び込む「投下役」のプログラム。検知回避や安定動作を狙って採用される。
コード署名(証明書)
ソフトウェアの発行元と改ざんの有無を証明する電子的な署名。本記事では不正取得された証明書でマルウェアが署名され、信頼を偽装した。
サンドボックス回避
セキュリティ製品が安全な隔離環境(サンドボックス)で挙動を解析するのを妨げる手法。「Continue」クリックやCAPTCHAで人間の操作を要求し、自動解析を逃れる。
初期アクセスブローカー
標的への最初の侵入経路を確保し、それを他の攻撃者に売り渡す役割を担う者。Storm-3075がこれに当たる。
Storm-3075
Microsoftが追跡する脅威アクターの呼称(コードネーム)。AIテーマの不正広告でマルウェアを配布する初期アクセスブローカー。
Fox Tempest
Microsoftが追跡する金銭目的の脅威アクター。マルウェアに不正取得した証明書などで署名する「署名代行サービス(MSaaS)」を運営していたとされる。
MSaaS(マルウェア署名代行サービス)
マルウェアにコード署名を施す行為をサービスとして提供する闇のビジネス。署名により検知率を下げ、信頼を偽装できる。
【参考リンク】
Microsoft Security Blog(Microsoft Threat Intelligence)(外部) Microsoftの脅威インテリジェンス部門が、最新の攻撃手口の分析や具体的な防御策を発信する公式セキュリティブログ。
OpenAI(ChatGPT)(外部) 対話型AIサービスChatGPTを開発・提供するOpenAIの公式案内ページ。本記事で偽装に悪用された。
Anthropic(Claude)(外部) 安全性を重視したAI開発を掲げ、AIアシスタントClaudeを提供するAnthropicの公式ページ。
DeepSeek(外部) 偽インストーラ事案で名前を悪用されたAI企業DeepSeekの公式サイト。正規の入手経路を確認できる。
GitHub(外部) 偽リポジトリの配布基盤として悪用された、世界最大級のソースコード共有プラットフォームの公式サイト。
Amazon Web Services(AWS)(外部) メール追跡用ドメインawstrack.meが中継に悪用された、AmazonのクラウドサービスAWSの公式サイト。
Cloudflare(外部) Claude事案で検証画面が偽装に悪用された、WebセキュリティとCDNを提供する企業の公式サイト。
Trend Micro(外部) 広域のAIブランド悪用エコシステムを報告した、セキュリティ企業トレンドマイクロの公式サイト。
Zscaler(ThreatLabz)(外部) 脅威調査チームThreatLabzが偽リポジトリを分析・報告した、クラウドセキュリティ企業の公式サイト。
Huntress(外部) OpenClawやGhostSocksなど関連マルウェアを調査した、セキュリティ企業Huntressの公式サイト。
【参考記事】
Weaponizing Trust Signals: Claude Code Lures and GitHub Release Payloads(Trend Micro)(外部) 同一基盤が25超のブランドを偽装し同じRust製窃取マルウェアを配布、Claude Code流出への便乗も分析。
Anthropic Claude Code Leak(Zscaler ThreatLabz)(外部) 「流出Claude Code」を騙る偽GitHubリポジトリの検索上位悪用と、Vidar・GhostSocks導入を技術分析。
Claude Code leak used to push infostealer malware on GitHub(BleepingComputer)(外部) Claude Codeの59.8MB・513,000行流出と、それに便乗した攻撃の即時発生を具体的な規模で報道。
OpenClaw GitHub GhostSocks Infostealer(Huntress)(外部) OpenClaw等の偽AIツールを餌にGitHub経由でGhostSocks等を配布した事例を分析し、広域性を裏付け。
【関連記事】
DeepSeek偽広告に警戒!Google検索で拡散するAIブランドを装ったマルウェア攻撃の実態 Google広告経由で偽DeepSeekを配布した2025年の事案。AIブランドを装う手口の源流をたどれる続報的な一本。
DeepSeek偽サイト出現!AIチャットボットを装った暗号資産詐欺の実態と対策 偽サイトとCAPTCHA経由でVidarを送り込んだ先行事例。今回のCAPTCHA偽装を理解する補助線になる。
「AIで要約」ボタンに潜む罠、31社が悪用する新攻撃手法とは 同じMicrosoft Defenderチームが報告したAIメモリ汚染攻撃。AI悪用の別角度として読み比べたい。
【編集部後記】
新しいAIが発表されるたび、私もつい「いますぐ触りたい」と前のめりになります。今回の取材で背筋が伸びたのは、その前のめりの一瞬こそが狙われている、という事実でした。技術そのものより、私たちの期待の高さが「餌」になっている——そう気づくと、ニュースの見え方が少し変わってきます。
とはいえ、怖がって立ち止まってほしいわけではありません。公式サイトのリンクをブックマークしておく、検索結果の上位を鵜呑みにしない、支払い更新メールは送信元ではなくアプリ側から確認する。こうした小さな習慣が、ワクワクを手放さずに前へ進むための「窓口」になると思っています。
もしみなさんなりの「ここは気をつけている」という工夫があれば、ぜひ聞かせてください。安全に未来へ手を伸ばす方法を、これからも一緒に持ち寄っていけたら嬉しいです。
