チェック・ポイント・ソフトウェア・テクノロジーズの脅威インテリジェンス部門であるチェック・ポイント・リサーチ(以下、CPR)は、Kling AIなどの生成AIサービスを装ったサイバー攻撃を発見したことを報告した。
生成AIが世界的な注目を集め続ける中、脅威アクターたちはAIの能力と人気を悪用しているという。ディープフェイクによる詐欺からなりすまし攻撃まで、AIを利用したプラットフォームへの信頼の高まりは、サイバー犯罪者にとって新たな攻撃の機会を生み出しているとのことだ。2025年初頭、CPRは、このトレンドを利用した巧妙な脅威キャンペーンの追跡を開始。同キャンペーンは、600万人以上のユーザーを持つ画像・動画合成ツールとして広く利用されている「Kling AI」になりすますことで攻撃を行ったとしている。
攻撃者は、偽のFacebook広告やなりすましページを通じて拡散を行い、最終的にユーザーを悪意のあるペイロードを配信するように設計された偽造Webサイトへと誘導したという。同リリースでは、このキャンペーンで使用された戦術を分析し、攻撃者がどのように生成AIサービスの信頼性を悪用してユーザーを欺き、マルウェアを拡散しているかを検証するとのことだ。
偽広告から偽ダウンロードへと誘導
この攻撃は、ソーシャルメディア上の偽広告から始まるという。2025年初頭以降、CPRはKling AIを偽って宣伝する約70件のスポンサー付き投稿を確認。これらの広告は、実在する企業のページに見せかけた、説得力のある偽物のFacebookページから発信されているとのことだ。
これらの広告のいずれかをクリックすると、ユーザーはKling AIの実際のインターフェースを精巧に模倣した偽のWebサイトに誘導されるとしている。実際のツールと同様に、画像をアップロードして「生成」ボタンをクリックすると、AIが作成した結果が表示されるような仕組みになっているという。しかし実際には、画像や動画は生成されず、代わりにAI生成ファイルに見せかけたアーカイブファイルがダウンロードされるとのことだ。
ダウンロードされたファイルには、「Generated_Image_2025.jpg」のようなファイル名と見慣れた画像アイコンが使用されており、無害な画像ファイルに見えるよう偽装されているという。しかし、この一見無害な外見の裏には危険が潜んでおり、実際にはユーザーのシステムを侵害することを目的とした偽装プログラムだとしている。このようにファイル名で画像ファイルになりすます手法は、脅威アクターがユーザーをだまして悪意のあるソフトウェアを実行させるためによく使う手口だとCPRは述べている。
一度ファイルを開くと、プログラムはひそかに自身をインストールし、コンピューターが起動するたびに自動的に再起動できるよう設定。また、サイバーセキュリティツールによって監視や分析されている兆候がないかをチェックし、検知の回避を試みるという。
リモートアクセスツールによる不正な遠隔操作
最初の偽ファイルが開かれると、より深刻な第二の脅威が作動。この段階では、リモートアクセス型トロイの木馬(RAT)と呼ばれるマルウェアがインストールされるという。これは、攻撃者が被害者のコンピューターを遠隔から制御できるようにするマルウェアだとしている。
このツールの各バージョンは、検知を回避するため少しずつ変更されているが、すべてに攻撃者のサーバーに接続するための隠された設定ファイルが含まれているという。これらのファイルには「Kling AI 25/03/2025」や「Kling AI Test Startup」といったキャンペーン名も含まれており、脅威アクターによる継続的なテストと更新が行われていることを示唆しているとのことだ。
マルウェアがインストールされると、システムの監視を開始。特にパスワードやそのほか機密データを保存しているWebブラウザや拡張機能を重点的に監視することで、攻撃者は個人情報の窃取と長期的なアクセスの維持が可能になるとしている。
![[画像クリックで拡大]](http://ez-cdn.shoeisha.jp/static/images/article/22068/3.png)
攻撃手法の分析:キャンペーンの追跡調査
攻撃者の正確な身元は不明だが、発見された証拠は、ベトナムの脅威アクターとの関連を強く示唆しているという。Facebookを利用した詐欺やマルウェアキャンペーンは、この地域のグループ、特に個人情報を盗むことに焦点を当てたグループの間でよく知られた手口だとCPRは述べる。
今回のケースでは、CPRによる分析の結果、その方向を指し示す複数の手がかりが明らかになったとしている。AIツールを悪用した類似のキャンペーンでは、以前からマルウェアコード内にベトナム語の用語が含まれていることが確認されているという。今回のキャンペーンでも同様のパターンが見られ、デバッグメッセージなどにベトナム語の記述が複数発見されたとのことだ。
これらの発見は、Facebook上の悪意のある広告(マルバタイジング)を調査しているほかのセキュリティ研究者らが報告している広範な傾向とも一致しているという。
AI関連の新たな脅威への防御
生成AIツールの人気が高まるにつれ、サイバー犯罪者はユーザーの信頼を悪用する新たな方法を見つけているとのことだ。偽の広告や偽のWebサイトを通じてKling AIになりすました今回のキャンペーンは、脅威アクターがソーシャルエンジニアリングと高度なマルウェアを組み合わせ、ユーザーのシステムと個人データにアクセスする手法を明らかにしているという。
ファイル名のなりすましからリモートアクセス、データ窃取まで幅広い攻撃手法が使われており、ベトナムの脅威グループとの関連も示唆されているとのことだ。この作戦は、ソーシャルメディアベースを悪用した攻撃がより標的型かつ巧妙化している近年のトレンドを反映しているという。
【関連記事】
・大阪製鐵、サイバートラストのeシール用証明書を採用 デジタル化による偽造やなりすまし製品の流通を抑止
・セキュリティインシデント発生時の最終責任者、日本企業の約4割が「不明瞭」と回答──ファストリー調査
・VPNの課題はセキュリティとコンプライアンスのリスクだと半数以上の組織が認識──Zscaler調査
この記事は参考になりましたか?
- 関連リンク
- この記事の著者
-
EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)
「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
