ChatGPT共有リンクが攻撃インフラに転用 — 偽OpenAI障害ページでマルウェアを配布する「LLMShare」キャンペーン発覚

セキュリティ企業Push Securityは、ChatGPTのコンテンツ共有機能（chatgpt.com/s/）を悪用して偽のOpenAI障害ページを表示し、マルウェアをChatGPTデスクトップアプリに偽装して配布する「LLMShare」キャンペーンを発見した。

攻撃の仕組み — 正規ドメインを盾にした新手のフィッシング

攻撃者はGoogle広告経由でChatGPTを検索するユーザーをchatgpt.comの正規共有リンクへ誘導する。リンクを開くと、チャット会話ではなく「ただいまアクセスが集中しています。ウェブ版は一時的にご利用いただけません。デスクトップアプリをダウンロードしてください」という障害通知が表示される。

驚くべきは、この偽通知がChatGPT自身のHTMLレンダリング機能を使って生成されている点だ。攻撃者はカスタムHTMLとCSSをChatGPTのプロンプトでレンダリングし、それをchatgpt.com/s/リンクとして公開した。ユーザーのブラウザには「chatgpt.com」という正規URLが表示されている。

Push Securityによれば、ページには「コードを表示」「ChatGPTでリミックス」というコントロールが含まれており、コードを確認すれば偽物と判断できる。しかし、一般ユーザーがそこまで確認するケースはほぼない。

ダウンロード先でも二段構えの偽装

「ダウンロード」ボタンをクリックすると、openew[.]appというOpenAIを模したサイトに誘導される。このサイトはクローキング技術を採用しており、URLScanなどのセキュリティスキャンツールからアクセスした場合は無害なAR/VRサービスのページを表示する。ターゲットにのみマルウェアを見せる巧妙な設計だ。

macOS版とWindows版の両方が用意されており、Windows版はAny.Runでの分析で仮想マシン検出コマンドを実行することが確認されている。最終的なペイロードは不明だが、同様の手口を使った過去のキャンペーンではインフォスティーラーが配布されていた。

Claude Artifactsも同様の手口で悪用

Push Securityは、AnthropicのClaude Artifactsも同様に悪用されていることを確認している。こちらはClickFixスタイルの攻撃で、レンダリングされたアプリを使ってユーザーに悪意あるコマンドを実行させる手口だ。

AI共有機能の悪用は今回が初めてではない。今年初めにはClaudeのダウンロードを検索するユーザーをGoogle広告経由で悪意ある共有チャットに誘導する攻撃も確認されており、ChatGPT・Grok・Claude Artifactsと、AIプラットフォームの共有機能全体が攻撃ベクターとして定着しつつある。

実務への影響 — IT管理者とエンドユーザーへの注意点

エンドユーザーへ:

• ChatGPTをはじめとするAIツールのダウンロードは、必ず公式サイト（openai.com）から直接行う
• Google広告経由でAIツールを検索・ダウンロードしない
• chatgpt.com/s/ の共有リンクで障害通知やダウンロードを促す画面が表示されたら即座に離脱する

IT管理者へ:

• DNSフィルタリングやWebプロキシでAIツールの公式ドメイン以外からのバイナリ取得をブロックするポリシーを設定する
• エンドポイント保護でOpenAI/Anthropic公式サイト以外からのAIツールインストールを制限する
• セキュリティ意識向上トレーニングで「正規URLでも安全ではない」ケースとして本件を具体例として活用する

筆者の見解

今回の手口で改めて浮き彫りになったのは、「URLの正規性≠コンテンツの安全性」という事実だ。chatgpt.comという完全に正規のドメインから偽の障害ページが配信される——従来の「URLを確認しろ」という啓発では対処できない時代に入っている。

この問題の本質は、AIプラットフォームが提供する「自由なHTMLレンダリング×公開共有リンク」という組み合わせにある。利便性のために設計された機能が、そのまま攻撃インフラに転用されている構図だ。OpenAI・Anthropicともに、共有コンテンツのレンダリング範囲や用途制限について早急に対策を講じる必要がある。

エンタープライズ環境では、AIプラットフォームへのアクセスを「禁止」するのではなく、公式ルートのみを通じてアクセスできる仕組みを整備することが重要だ。禁止アプローチは必ず迂回される。社員が正規の手段でもっとも便利に使える環境を作ることが、結果として攻撃面を狭めることにつながる。

AIツールの急速な普及とともに、こうした攻撃はさらに巧妙化・多様化するだろう。「ChatGPTが落ちているからアプリをダウンロードする」という行動は、AIを日常的に使うユーザーにとって自然な流れだ。技術の進化に合わせたセキュリティ教育の継続的な更新が、いまもっとも急ぎ対処すべき課題の一つだと考える。

出典: この記事は ChatGPT share links abused to host fake outage pages to deliver malware の内容をもとに、筆者の見解を加えて独自に執筆したものです。