LLMShare：攻撃者がAIチャットボットのページをマルウェア配信プラットフォームに変える

セキュリティ研究者は、新たなマルウェア配信キャンペーンを発見しました。攻撃者はChatGPTやClaudeなどのAIチャットプラットフォームのコンテンツ共有機能を悪用し、信頼されたドメイン上でホストされているページをマルウェア配信の踏み台として利用しています。「LLMShare」と呼ばれるこの攻撃手法は、検索エンジン上の悪質な広告（マルバタイジング）やSEOポイズニングにより、被害者をchatgpt.comやclaude.aiの共有会話ページに誘導します。これらのドメインはセキュリティツールやユーザーから信頼されているため、悪意のあるリンクはURLレピュテーションチェックを通過します。

初期の報告では、攻撃者はClaude.ai上で偽のインストールガイドを作成し、ユーザーにターミナルでcurlコマンドを貼り付けるよう仕向け、情報窃取型マルウェアをダウンロードさせました。カスペルスキーは同様の手法でChatGPTの共有会話を悪用し、Atomic macOS Stealer（AMOS）を配信するキャンペーンを記録しています。Push Securityが発見した新しい亜種はさらに高度です。攻撃者はChatGPTのコードレンダリング機能を利用して、chatgpt.comのサブパス下に完全に偽造されたページを生成しました。このページはChatGPTの「サービス障害」通知のように見え、高トラフィックのためサービスが利用できないと表示し、デスクトップアプリのダウンロードを促します。実際には、このページはHTML/CSSコードで構成され、ChatGPTの公式ドメインでホストされています。

ダウンロードボタンをクリックすると、ユーザーはopenew[.]appにリダイレクトされます。このサイトはChatGPTの公式ダウンロードページと酷似しており、訪問者を識別して異なるコンテンツを表示します。自動スキャナーやURL分析サービスには一般的なAR/VR企業のウェブサイトを表示し、実際のブラウザからのアクセスには偽のChatGPTダウンロードページを表示してマルウェアを配布します。この条件付きレンダリングは、マルバタイジングエコシステムにおける一般的な回避手法です。

並行して、Claudeの共有会話を悪用した従来型の攻撃も継続しています。偽の「Claude Code on Mac」インストールガイドとして、ユーザーに悪意のあるコマンドを実行させます。両方の亜種がPush Securityの顧客環境で検出されており、同一の攻撃グループが異なるプラットフォームや手法を試行している可能性があります。検索エンジン広告が主要な感染経路であり、「chatgpt」やそのタイプミスを検索するユーザーが悪質な広告をクリックします。

この攻撃手法は、正規プラットフォームを悪用する広範なトレンドの一部です。2026年の脅威環境では、攻撃者はAWS SESを介してSPF/DKIM/DMARC検証を通過するフィッシングメールを送信したり、Google AppSheetのメール機能で認証情報を収集したり、Microsoftの公式通知パイプラインを悪用しています。ホスティング面では、GitHub Pages、Vercel、Azure Blob Storage、Cloudflare Workersなどが悪用されています。また、Ghost CMSの脆弱性を悪用した大規模な攻撃により、ハーバード大学やオックスフォード大学などのサブドメインを含む700以上のサイトにClickFixページが埋め込まれました。

LLMShare攻撃の核心は、AIプラットフォームの構造的な脆弱性を突く点にあります。従来のセキュリティ制御はドメインレピュテーションとURL分類に依存しており、chatgpt.comやclaude.aiは安全と見なされるため、その上でホストされた悪意のあるコンテンツはブロックされません。特にコードレンダリングを利用した亜種は、初期の攻撃にあった明らかな警告サイン（ターミナルコマンドの貼り付け指示など）を排除し、合理的な「サービス障害」通知を提示するため、一般ユーザーにとって防御が困難です。