Google広告×AIチャット悪用のMacマルウェア——正規URLを騙る新世代マルバタイジングの手口

Google広告の「公式に見えるスポンサー枠」と、AIサービスの「共有チャット機能」という2つの信頼されたインフラを組み合わせた、新たなマルバタイジングキャンペーンが確認された。ターゲットはmacOSユーザー。「正規URLが表示されていれば安全」という直感がもはや機能しない現実を、あらためて突きつける事例だ。

攻撃の仕組み：2段階の「信頼の借用」

今回の攻撃は、セキュリティエンジニアのBerk Albayrak氏（Trendyol Group）が発見し、BleepingComputerが追跡・検証した。構造はシンプルだが、その巧妙さは際立っている。

第1段階：Google広告で入口を偽装する

「Claude mac download」などのキーワードを検索すると、スポンサー広告として正規のAIサービスドメインが表示される。しかしクリックすると、攻撃者が用意した共有チャットページへ誘導される。表示URLと遷移先が異なるという、マルバタイジングの古典的な手口だ。

第2段階：本物のプラットフォーム上に罠を仕掛ける

誘導先がフィッシングサイトではなく、正規のAIサービス上の「共有チャット」ページという点が今回の核心だ。攻撃者は「公式インストールガイド」を装ったチャットを作成・公開し、ユーザーにTerminalを開かせて悪意あるコマンドを貼り付けさせる。URLバーには本物のドメインが表示されているため、ブラウザの警告もユーザーの目視確認も機能しない。

マルウェアの動作：洗練された標的選別

実行されたシェルスクリプトは、単純な感染ツールではなく、かなり作り込まれた設計を持つ。

• CIS地域の除外: キーボードロケールを確認し、ロシア語・CIS地域設定の場合は即座に終了（cis_blocked ステータスを静かに送信）
• 被害者プロファイリング: 外部IPアドレス、ホスト名、OSバージョン、キーボードロケールを収集して攻撃者サーバーへ送信
• ポリモーフィック配信: リクエストごとに異なる難読化ペイロードを返し、ハッシュベースの検知を無効化
• メモリ実行: スクリプトはメモリ上で動作し、ディスク痕跡を最小化
• osascript 利用: macOS標準のスクリプトエンジンを経由してリモートコード実行を実現

最終的な目的は MacSync インフォスティーラー の実行であり、ブラウザの認証情報・Cookie・macOSキーチェーンの内容が外部へ持ち出される。

実務への影響

IT管理者が取るべき対策

企業内でMacを使う社員が「業務ツールをGoogle検索でダウンロードする」という行動パターンは日常的だ。今回の攻撃は公式ドメインの表示と正規プラットフォームの信頼を二重に利用しており、ユーザー教育だけでは限界がある。以下を組み合わせた多層防御が現実解だ。

• MDMによるエンドポイント管理: 管理外アプリのインストールを制限し、Terminalの使用ポリシーを整備する
• GateKeeper・Notarizationの確認: macOS標準のセキュリティポリシーが正しく機能しているか定期確認を
• DNSフィルタリング: 既知の不審ドメインへの通信をネットワーク層でブロック
• EDRの振る舞い検知: シグネチャベースでは検知できないポリモーフィック型には、振る舞い検知が有効

エンジニアが持つべき習慣

「ドキュメントに書いてあるコマンドをTerminalに貼り付ける」という行為そのものが攻撃ベクターになりえる時代だ。特に以下のパターンは立ち止まって確認したい。

• curl | bash 形式のワンライナー
• Base64エンコードされたコマンド
• 見慣れないドメインへのアクセスを含むスクリプト

筆者の見解

この攻撃の完成度には正直、舌を巻く。自前でフィッシングサイトを用意するのではなく、信頼されたプラットフォームの正規機能を踏み台にするという発想は、現代のゼロトラスト的思考と皮肉にも呼応している——悪い意味で。

「URLが本物ならば安全」という直感は今やほとんど機能しない。ネットワーク層やURL評価だけでなく、コマンドの内容そのものを検証する層が必要な時代に入っている。ゼロトラストの本質は「何も信頼しない」ではなく「すべてを継続的に検証する」ことだが、今回の事例はその原則をエンドユーザーの操作レベルにまで適用しなければならないことを示している。

macOSは「Windowsより安全」というイメージが根強いが、インフォスティーラーをはじめとするMac向けマルウェアの洗練度は近年急速に上がっている。日本のIT現場でもMacの業務利用が増えている中、「Macだから大丈夫」という油断は禁物だ。

AIツールが急速に普及し、「AIサービスのインストール方法を検索する」という行動パターン自体が攻撃者に狙われるようになった。新しいツールが登場するたびに、攻撃者もその普及曲線に乗って仕掛けてくる。インフラ面の対策を進めながら、地道にユーザー啓発も続けていく——それが現時点での現実的な答えだ。「今動いているから大丈夫」が通用しないのは、セキュリティの世界では昔から変わらない真実である。

出典: この記事は Hackers abuse Google ads, Claude.ai chats to push Mac malware の内容をもとに、筆者の見解を加えて独自に執筆したものです。