Kasperskyの専門家が2025年12月、ChatGPTの公式ウェブサイトを悪用した新たなサイバー攻撃キャンペーンを発見した。攻撃者はGoogle検索広告を通じて「chatgpt atlas」を検索するユーザーを標的とし、OpenAIの新しいAtlasブラウザのインストールガイドを装った悪意のあるページへ誘導する。
リンク先はchatgpt.com/share/で始まる共有チャット機能を利用しており、公式サイト上でホストされている。プロンプトエンジニアリングによってChatGPTに作成させた偽のインストールガイドは、ユーザーにTerminalでコマンドを実行させ、atlas-extension.comから悪意のあるスクリプトをダウンロードさせる。
これはClickFix攻撃の変種である。感染するとAMOS(Atomic macOS Stealer)インフォスティーラーが起動し、Chrome、Firefox、Electrum、Coinomi、Exodus、Telegram Desktop、OpenVPN Connectなどからパスワード、Cookie、暗号通貨ウォレット情報を窃取する。
さらにDesktop、Documents、DownloadsフォルダーからTXT、PDF、DOCX形式のファイルも盗み出す。AMOSはバックドアもインストールし、システム再起動時に自動起動して遠隔操作を可能にする。
From: 
The AMOS infostealer is piggybacking ChatGPT’s chat-sharing feature
【編集部解説】
今回の攻撃で最も注目すべきは、信頼できるプラットフォームの正規機能を悪用する手法の巧妙さです。ChatGPTの共有チャット機能は、ユーザー同士が有益な会話を共有するために設計されたものですが、攻撃者はプロンプトエンジニアリングによってAI自身に悪意のあるガイドを生成させ、その会話履歴を整理して公開しました。結果として、公式ドメインchatgpt.com上でホストされた「信頼できる」ページが完成したのです。
ClickFix攻撃は2025年に入って517%増加しているという報告もあり、この手法自体が急速に広がっています。従来はCAPTCHA突破やシステムエラー修復を装うケースが多かったのですが、今回は「新しいツールのインストール」という、より中立的で好奇心を刺激する文脈に変化しています。技術的な脆弱性を突くのではなく、人間の心理と信頼を悪用する点が特徴です。
興味深いのは、OpenAIが実際に2025年10月にAtlasというAIブラウザを発表していることです。この実在するプロダクト名を利用することで、攻撃の信憑性が大幅に高まりました。ただし、本物のAtlasはmacOS専用ではありませんし、Terminalコマンドでのインストールも不要です。しかし、新技術に対する期待と情報の不足が、ユーザーの判断を鈍らせる要因となっています。
AMOSインフォスティーラーの被害範囲も深刻です。ブラウザの認証情報や暗号通貨ウォレットに加え、macOSのキーチェーンにアクセスしてWi-Fi認証情報や証明書まで窃取します。さらに設置されるバックドアは、システム再起動後も動作し続け、攻撃者に長期的な遠隔操作の手段を提供します。つまり、初期感染後も継続的に情報が流出し続けるリスクがあるのです。
この事例が示すのは、AIツールの普及に伴う新たな攻撃面の拡大です。セキュリティ研究者は、AIブラウザが信頼されたユーザーの指示と悪意のあるウェブページ上のテキストを区別できない問題を指摘しており、技術的な対策が追いついていない現状が浮き彫りになっています。
【用語解説】
インフォスティーラー(Infostealer)
パスワード、Cookie、暗号通貨ウォレット情報、ドキュメントなど、コンピュータから価値のあるデータを盗み出すことを目的としたマルウェアの一種。2025年最も急成長しているサイバー脅威となっている。
ClickFix攻撃
ユーザーにコマンドプロンプトやターミナルで特定のコマンドを手動実行させることで、マルウェアをダウンロード・実行させる攻撃手法。CAPTCHA突破やシステムエラー修正を装うケースが多い。
AMOS(Atomic macOS Stealer)
macOSを標的としたインフォスティーラー。ブラウザの認証情報、暗号通貨ウォレットデータ、各種アプリケーションの情報を窃取し、バックドアを設置して遠隔操作を可能にする。
バックドア
攻撃者がシステムに不正アクセスするための裏口。一度設置されると、システム再起動後も動作し続け、長期的な遠隔操作や情報窃取を可能にする。
プロンプトエンジニアリング
AIチャットボットから望ましい出力を得るために、入力する質問や指示を工夫する技術。今回の攻撃では、ChatGPTに悪意のあるインストールガイドを生成させるために悪用された。
共有チャット機能
ChatGPTなどのAIチャットボットで、自分の会話を他のユーザーと共有できる機能。共有されたチャットはchatgpt.com/share/で始まるURLで公開される。
【参考リンク】
Kaspersky公式ブログ(外部)
サイバーセキュリティ企業が運営する公式ブログ。最新のサイバー脅威、マルウェア分析、セキュリティ対策に関する専門的な情報を提供。
OpenAI公式サイト(外部)
ChatGPTやAtlasブラウザを開発する人工知能研究企業。大規模言語モデルGPTシリーズを始めとする先端AI技術を提供。
ChatGPT公式サイト(外部)
OpenAIが提供する対話型AIチャットボット。会話の共有機能を持ち、今回の攻撃ではこの機能が悪用された。
【参考記事】
ClickFix attack surge: fake ChatGPT Atlas installers steal passwords(外部)
ClickFix攻撃が2025年に517%増加したという統計データを報告。偽のChatGPT Atlasインストーラーを使った攻撃手法の急増を分析。
AI-Poisoning & AMOS Stealer: How Trust Became the Trojan Horse(外部)
AMOS Stealerが信頼されたAIプラットフォームを悪用する手法を解説。ChatGPTやGrokなどのAIツールに対するユーザー信頼の悪用を指摘。
Experts warn OpenAI’s ChatGPT Atlas has security flaws that could leak user data, spread malware(外部)
2025年10月に発表されたAtlasブラウザのセキュリティ脆弱性を専門家が警告。プロンプトインジェクション攻撃のリスクを報告。
【編集部後記】
新しいAIツールへの期待が、逆に私たちの判断を鈍らせる時代になりました。公式サイトのURLだから安全、という常識が通用しなくなっているのです。
みなさんは、ターミナルでコマンドを実行するよう促された経験はありますか?もしそのような場面に遭遇したら、一度立ち止まって考えてみてください。技術の進化とともに、攻撃手法も驚くほど洗練されています。便利さと安全性のバランスについて、一緒に考えていけたら嬉しいです。
