Last Updated on 2025-05-13 07:42 by admin
サイバーセキュリティ企業Morphisecの研究者Shmuel Uzanは2025年5月8日に発表したレポートで、脅威アクターが偽の人工知能(AI)ツールを利用して「Noodlophile」と呼ばれる情報窃取マルウェアをユーザーに配布していることを明らかにした。
この攻撃では、従来のフィッシングやクラックされたソフトウェアサイトではなく、説得力のあるAIテーマのプラットフォームを構築し、正規に見えるFacebookグループやバイラルなソーシャルメディアキャンペーンを通じて宣伝している。これらのページで共有された投稿は、1つの投稿で62,000以上の閲覧数を集めており、動画や画像編集のためのAIツールを探しているユーザーがこのキャンペーンの標的となっている。
特定された偽のソーシャルメディアページには、Luma Dreammachine AI、Luma Dreammachine、gratistuslibrosなどがある。偽サイトの一つはCapCut AIを装い、「新しいAI機能を備えたオールインワンビデオエディタ」をユーザーに提供していると偽っている。
無防備なユーザーがこれらのサイトで画像や動画のプロンプトをアップロードすると、AIで生成されたとされるコンテンツをダウンロードするよう求められるが、その時点で悪意のあるZIPアーカイブ(「VideoDreamAI.zip」)がダウンロードされる。このファイル内には「Video Dream MachineAI.mp4.exe」という紛らわしい名前のファイルが含まれており、ByteDanceのビデオエディタ(「CapCut.exe」)に関連する正規のバイナリを起動して感染チェーンを開始する。
このC++ベースの実行ファイルは、CapCutLoaderという.NETベースのローダーを実行し、最終的にリモートサーバーからPythonペイロード(「srchost.exe」)をロードする。このPythonバイナリは、ブラウザの認証情報、暗号通貨ウォレット情報、その他の機密データを収集する機能を持つNoodlophile Stealerの展開への道を開く。一部のケースでは、感染したホストへの永続的なアクセスを確保するために、このスティーラーにXWormのようなリモートアクセストロイの木馬が同梱されている。
Noodlophileの開発者はベトナム出身と評価されており、GitHubプロフィールでは自身を「ベトナム出身の情熱的なマルウェア開発者」と主張している。このアカウントは2025年3月16日に作成された。ベトナムはFacebookを標的とするさまざまなスティーラーマルウェアファミリーを配布してきた歴史を持つ、活発なサイバー犯罪エコシステムの本拠地である。
悪意のある行為者がAI技術への一般の関心を武器化することは新しい現象ではない。2023年、Metaは自社のサービス全体で共有されていた1,000以上の悪意のあるURLを削除したと発表した。これらのURLはOpenAIのChatGPTを餌として利用し、2023年3月以降約10種類のマルウェアファミリーを拡散していた。
この開示は、CYFIRMAが別の新しい.NETベースのスティーラーマルウェアファミリーであるPupkinStealerの詳細を明らかにしたことと時を同じくしている。PupkinStealerは侵害されたWindowsシステムから幅広いデータを盗み出し、攻撃者が管理するTelegramボットにそれを流出させることができる。
References:
Fake AI Tools Used to Spread Noodlophile Malware, Targeting 62,000+ via Facebook Lures
【編集部解説】
AIブームが続く中、サイバー犯罪者たちはその人気に便乗した新たな攻撃手法を展開しています。今回のNoodlophileマルウェアの事例は、テクノロジーの進化に伴う脅威の形態変化を如実に示しています。
この攻撃が特に注目すべき点は、従来のフィッシングやクラックされたソフトウェアとは異なるアプローチを取っていることです。攻撃者は偽のAIプラットフォームを構築し、Facebookグループや他のソーシャルメディアを通じて宣伝しています。これらの投稿は1つで6万2千以上の閲覧数を集めており、その影響力の大きさがうかがえます。
特筆すべきは、この攻撃が「ソフトウェアのダウンロード」ではなく「AIが生成したコンテンツのダウンロード」という形を取っている点です。ユーザーは新しいソフトウェアをインストールすることに抵抗があっても、Webベースのサービスに画像をアップロードしてAI生成コンテンツを受け取ることには比較的抵抗が少ないでしょう。この心理を巧みに突いた手法と言えます。
Noodlophileマルウェア自体は、ブラウザの認証情報や暗号通貨ウォレット情報を窃取する機能を持ち、一部のケースではXWormというリモートアクセストロイの木馬も同梱されています。これにより攻撃者は被害者のシステムに永続的なアクセスを確保できるようになります。
特に懸念されるのは、このマルウェアがマルウェア・アズ・ア・サービス(MaaS)モデルで提供されている可能性がある点です。これは、技術的知識が乏しい犯罪者でも簡単に利用できることを意味し、攻撃の裾野が広がる恐れがあります。
また、このキャンペーンで使用されている偽AIツールの名前は「Luma DreamMachine」や「CapCut AI」ですが、今後も新たな偽ツールが登場する可能性が高いでしょう。AIツールの人気が高まる中、同様の攻撃手法は増加傾向にあると考えられます。
この事例は、テクノロジーの進化に伴い、サイバーセキュリティの脅威も進化し続けていることを示しています。特にAIのような新興技術は、一般ユーザーにとってまだ馴染みが薄く、その仕組みや限界について十分な理解がないため、攻撃者にとって格好の標的となっています。
私たちユーザーは、無料のAIツールを利用する際には、その提供元を慎重に確認し、不審なダウンロードには警戒する必要があります。特にソーシャルメディアの投稿や第三者サイトで提供されるツールには注意が必要です。正規のAIサービスは通常、ダウンロードではなくWebブラウザ上で直接結果を表示することが多いという点も覚えておくと良いでしょう。
【用語解説】
情報窃取マルウェア(インフォスティーラー):
パソコンやスマートフォンに保存されているパスワードやクレジットカード情報などの個人情報を盗み出す悪意のあるソフトウェア。銀行口座情報や暗号資産のウォレット情報なども標的となる。
リモートアクセストロイの木馬(RAT):
被害者のコンピュータに侵入し、攻撃者が遠隔操作できるようにするマルウェア。XWormはその一種で、被害者のシステムを完全に制御できる。
マルウェア・アズ・ア・サービス(MaaS):
マルウェアを開発・販売するビジネスモデル。技術的な知識がなくても、料金を支払えば誰でもマルウェアを入手・使用できるようにするサービス。サイバー犯罪の敷居を下げる要因となっている。
Telegram Bot:
メッセージアプリTelegramで動作する自動化プログラム。今回のケースでは、盗まれた情報を攻撃者に送信するための通信手段として使用されている。
【参考リンク】
Morphisec(外部)
サイバーセキュリティ企業。Noodlophileマルウェアを発見・分析した移動標的防御技術のパイオニア
CYFIRMA(外部)
サイバー脅威インテリジェンス企業。PupkinStealerマルウェアの分析を実施
CapCut(外部)
ByteDanceが提供する正規の動画編集ツール。攻撃者に悪用されている
Meta Security Center(外部)
Metaのセキュリティ情報を提供するページ。プラットフォーム上の脅威と対策を解説
【編集部後記】
AIツールの進化とともに、その名を騙った脅威も巧妙化しています。皆さんは無料のAIサービスを利用する際、どのような点に注意されていますか? 信頼できるサービスかどうかを見分けるコツや、実際に遭遇した怪しいAIツールの体験があれば、ぜひSNSでシェアしていただけると嬉しいです。また、日常的に使用している安全なAI画像・動画生成ツールについても教えてください。みんなで知見を共有し、テクノロジーを安全に楽しみましょう。
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
