Last Updated on 2025-05-21 08:45 by admin
サイバーセキュリティ企業Check Point Research(CPR)は、人気AI画像・動画生成プラットフォーム「Kling AI」を偽装するマルウェアキャンペーンを発見した。このキャンペーンは2025年初頭から追跡されており、Facebookの広告を通じて約70件の偽プロモーションポストが確認されている。
攻撃者は有料広告や偽のFacebookページを通じて、klingaimedia[.]comなどの偽サイトにユーザーを誘導している。これらのサイトではAI生成の画像や動画を作成できると謳っているが、実際にはユーザーが要求したコンテンツを提供する代わりに、悪意のあるファイルのダウンロードを促す。
これらのファイルは.mp4や.jpg等の一般的な拡張子を装っているが、実際には292バイトもの長いファイル名を持ち、ダブル拡張子とハングル・フィラー文字(UTF-8エンコーディングの0xE3 0x85 0xA4)を使用して正体を隠したWindowsの実行ファイルである。ユーザーがこれらのファイルを開くと、マルウェアローダーが起動する。
このマルウェアは.NET Native AOT(Ahead-Of-Time)コンパイルを利用して分析を複雑にし、検出を回避する仕組みになっている。実行されると、ブラウザに保存された認証情報、セッショントークン、その他の機密データを窃取するための情報窃取ツールが展開される。
研究者らは、klingxai[.]com、kingaitext[.]com、klingx[.]aiなど複数の類似ドメインを発見している。多くのサイトはすでに閉鎖されているが、aikling[.]aiとklingturbo[.]comの2つのサイトは現在も稼働中で、ScreenConnectを配布していることが確認されている。
Check Pointの研究者によると、Facebook広告を使った情報窃取マルウェアの配布はベトナムの脅威アクターが好む手法であり、他のAI/LLMテーマのマルウェア広告キャンペーンでもベトナム語の変数やフィールド名が含まれていたことが報告されている。
【編集部解説】
AI技術の急速な普及に伴い、サイバー犯罪者たちもその波に乗る形で攻撃手法を進化させています。今回のKling AIを偽装したマルウェアキャンペーンは、まさに現代のテクノロジートレンドを悪用した典型的な例と言えるでしょう。
Check Point Researchの調査によると、このキャンペーンは2025年初頭から開始され、Facebookの広告システムを悪用して拡散されていました。攻撃者は約70件の偽のプロモーションポストを作成し、ユーザーを偽のKling AIサイトへと誘導していたことが判明しています。
特に注目すべきは、攻撃者が使用した高度な技術的手法です。ダウンロードされるマルウェアは単なる実行ファイルではなく、ハングル・フィラー文字を使用して292バイトもの長いファイル名を持ち、Windows Explorerでは画像ファイルのように表示される巧妙な偽装が施されていました。これは一般ユーザーが見破ることが非常に困難な手法です。
また、このマルウェアは.NET Native AOT(Ahead-Of-Time)コンパイルを利用することで分析を複雑にし、多くの従来型検出技術を回避する仕組みになっています。これは攻撃者の技術レベルが向上していることを示す証拠と言えるでしょう。
Check Pointの研究者たちはこの攻撃の背後にベトナム関連の脅威アクターがいる可能性を指摘しています。マルウェア内のコードにベトナム語が含まれていたり、広告主がベトナムを所在地として指定していたりするなど、複数の証拠が発見されています。
この種の攻撃が成功する背景には、AIツールへの社会的関心の高まりがあります。ユーザーは新しいAI技術に対して好奇心を持ち、試してみたいという欲求が強いため、セキュリティ意識が一時的に低下する傾向があります。
Check Pointのリサーチ担当VPであるマヤ・ホロウィッツ氏は「AIは、サイバー犯罪者の手口に急速な進化をもたらすことで、サイバー脅威環境を一変させました」と述べています。同社のAIセキュリティレポート2025によれば、AIを活用した攻撃は今後さらに増加し、特に音声や映像を含むディープフェイク技術を用いた高度な偽装が懸念されています。
企業や個人がこのような攻撃から身を守るためには、いくつかの基本的な対策が重要です。まず、AIツールを利用する際は公式サイトから直接アクセスすること、SNSの広告経由でのアクセスには注意すること、そしてダウンロードしたファイルの拡張子と実際の内容が一致しているか確認することが挙げられます。
今後もAI技術の発展とともに、それを悪用する攻撃手法も進化していくことが予想されます。テクノロジーの恩恵を享受しながらも、常にセキュリティリスクに対する意識を高く保つことが、デジタル社会を生きる私たちにとって不可欠となっているのです。
【用語解説】
Kling AI:
中国の快手(Kuaishou)が開発した、テキストや画像から高品質な動画を生成できるAIツール。メールアドレスの登録だけで利用可能で、直感的な操作で多様なジャンルの動画を作成できる。
マルウェアローダー:
攻撃者のC2サーバーからマルウェアなどの悪性実行ファイル(ペイロード)をインストールするプログラム。自身は攻撃者のインフラへのアクセス以外に悪意のあるコードを含まないことがあるが、情報窃取などの機能を有している場合もある。
.NET Native AOT:
.NETアプリケーションを事前にネイティブコードにコンパイルする技術。従来のJIT(Just-In-Time)コンパイルと異なり、ビルド時に完全なネイティブバイナリを作成することで、起動が高速化され、メモリ使用量が削減される。
ダブル拡張子:
ファイル名に複数の拡張子を付けることで、実際のファイルタイプを隠蔽する手法。例えば「document.jpg.exe」のようなファイル名では、Windowsの標準設定では「.exe」が隠れ、画像ファイルに見えるが実際は実行ファイルである。
ハングル・フィラー文字:
韓国語のハングル文字セットに含まれる特殊文字で、通常は空白を埋めるために使用されるが、マルウェアではファイル名を異常に長くしたり、ファイルの本質を隠したりするために悪用される。UTF-8エンコーディングでは0xE3 0x85 0xA4の3バイトで表現される。
ScreenConnect:
現在はConnectWiseとして知られるリモートアクセスツール。正規のITサポート目的で使用されるが、攻撃者に悪用されると被害者のコンピュータへの完全なアクセスを許可してしまう可能性がある。
【参考リンク】
Kling AI(外部)
テキストや画像から高品質な動画を生成できるAIツール。簡単な操作で多様なジャンルの動画作成が可能。
Check Point Software Technologies(外部)
サイバーセキュリティソリューションの世界的リーダーで、企業や官公庁の保護に尽力している企業。
Check Point Research(外部)
Check Pointの脅威インテリジェンス部門。最新のサイバー脅威に関する調査・分析を行い、詳細なレポートを公開。
【参考動画】
Sora級と話題の動画生成AI『kling ai』の紹介と使い方を解説した動画。
チェック・ポイント・ソフトウェア・テクノロジーズによるセキュリティ対策を解説した動画。
【編集部後記】
皆さんは日常的に利用するAIツールをどのように選んでいますか?便利なテクノロジーの裏に潜む新たなリスクについて、今一度考えてみる機会かもしれません。「無料で高性能」と謳うサービスには要注意。公式サイトへの直接アクセスや、ダウンロードファイルの確認など、小さな習慣が大きな防御になります。Check Pointの調査によれば、AIを悪用した攻撃は2025年に入ってから急増しているとのこと。皆さんが実践している独自のセキュリティ対策があれば、ぜひSNS欄でシェアしていただけると嬉しいです。
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
