AIブームに便乗した犯罪が急増、ChatGPTやClaudeの名前で認証情報を盗む手口をMicrosoftが分析

Microsoftが、ChatGPT、Claude、DeepSeek、Microsoft CopilotなどのAIブランドをかたるフィッシング攻撃や、不正広告を使った誘導であるマルバタイジングが増えていると警告しています。

AI brands as bait: How threat actors are using the AI hype in social engineering | Microsoft Security Blog
https://www.microsoft.com/en-us/security/blog/2026/06/08/ai-brands-as-bait-how-threat-actors-are-using-the-ai-hype-in-social-engineering/

2026年5月5日にMicrosoftが検出したChatGPTを装ったフィッシングメールでは、送信者名にChatGPTを使い、件名でChatGPT Plusの支払い方法更新を求めるメールが送られていました。メール本文では「7日以内に有効な支払い方法を登録しないと無料プランへダウングレードされる」と警告し、上部にはChatGPTのロゴが大きく表示されていました。Microsoftによると、南アフリカ向けに4500通のメールが送信され、同じテーマとインフラを使う広範なキャンペーンでは1日で最大10万通がスイス、オーストリア、南アフリカに送られたことも確認されています。

メール内の「Update payment method」ボタンを押すと、最初に正規の顧客管理サービス、次にAmazonのメール開封・クリック追跡用ドメイン、さらにURL短縮サービスのRebrandlyを経由するなど多数のリダイレクトが行われるとのこと。こうしたリダイレクトはメールフィルターをすり抜けたり、利用者が本物だと思い込んだりしやすくするための手口とされています。

最終的に、正式ではないドメイン上の「/ChatGPT/」フォルダーへ誘導されるとのこと。誘導先ではすぐにカード情報入力画面を見せず、まず「Update payment」ボタンだけの簡易的なCAPTCHA風画面を表示し、利用者がボタンを押すと名前や住所を入力するページに進み、最後にカード名義、カード番号、有効期限、認証コードを入力させる構成になっています。こうして段階を踏むことで「人間が入力していること」を確かめている模様。

Claudeをかたる攻撃では、「支払い更新」ではなく「利用規約違反への異議申し立て」が使われました。Microsoftによると、2026年4月20日から22日にかけてAnthropic関連サービスになりすましたメールが2000以上の組織に送られ、主な標的はアメリカ、イギリス、インドでした。業種では情報技術、ビジネス関連、金融サービスが目立ったとのこと。

メール本文はAnthropicやClaudeのブランドを使ったHTML形式で、アカウントが利用ポリシー(AUP)に違反しているため異議申し立ての手続きを始めたと説明していました。

さらに「Fill and Sign Claude Appeal Form.pdf(Claude異議申し立てフォーム.pdf)」というPDFを添付し、PDF内では異議申し立てIDをコピーして「Claude Appeal」リンクをクリックするよう促していました。

PDF内のリンクをクリックすると、攻撃者が管理するドメインへ移動し、Cloudflareの認証を装った画面が表示されます。

認証を通過した利用者はClaude風の「Account Security & Compliance」ページへ進み、アクセスコードをコピーして続行するよう求められました。Microsoftは、この流れが自動解析を妨げるためのゲートとして使われた可能性が高いと説明しています。

最終ページはMicrosoftの分析時点では利用できなくなっていましたが、ソースコードにはモバイル端末とデスクトップ環境で誘導先を分ける条件分岐が残っていたとのこと。

攻撃の全体像は以下の通り。Microsoftは、共有された中間ドメインや同じようなリダイレクト処理から、最終的にはMicrosoftのサインイン画面を装うページへ誘導され、認証トークンを盗む中間者攻撃(AiTM)につながっていた可能性が高いとしています。

AIブランドの悪用はメールだけではなく、広告枠を悪用してマルウェア配布ページへ誘導する「マルバタイジング」という手口も使われています。Microsoftは無料映画配信サイトで動画プレイヤーをクリックしたり、ポップアップ広告を閉じようとしたりした利用者が「Awesome AI Windows Plugin」のダウンロードページへ誘導される攻撃も確認しており、この攻撃を侵入の足掛かりを作って販売する「初期アクセスブローカー」と呼ばれる犯罪グループのStorm-3075に関連づけているとのこと。2026年3月13日の単一キャンペーンでは6万6000台以上のデバイスが標的になったと報告されています。

「Awesome AI Windows Plugin」は実在する製品ではなく、無料で高画質動画を見られると見せかけるための名前です。ダウンロードされる実行ファイルは「ProFluxeFlowAi-win-Setup.exe」で、GitHub上のAI風フォルダーに置かれていました。さらに、実行ファイルは不正に取得されたMicrosoft発行のコード署名証明書で署名されており、Windowsや利用者に「信頼できそう」と思わせる材料が追加されていました。Microsoftはすでに関連する署名証明書を失効させ、GitHubは関連リポジトリを削除したとのこと。

実行後すぐに情報窃取が始まるわけではなく、マルウェアは「Continue」と書かれたチェックボックス画面を表示し、利用者がクリックするまで不審な処理を行いません。Microsoftは、この操作待ちがサンドボックスや自動解析を避けるための仕組みだとみています。クリック後にはPythonベースのダウンローダーが展開され、最終的に情報窃取マルウェアのVidarが配布されていました。

DeepSeekをかたる攻撃では、検索結果そのものが入り口になっていました。Microsoftによると、2026年4月にDeepSeek V4への関心を悪用した偽GitHub組織と偽リポジトリが作成され、GitHubのリリース機能を使ってVidarなどの情報窃取マルウェアを配布していました。DeepSeekが公式のV4リポジトリをGitHubで公開していなかったことも、偽リポジトリの露出を高める要因になったとのこと。攻撃者はDeepSeek V4のプレビュー発表から数時間以内に新しいGitHub組織やリポジトリ、リリースタグを用意し、わずか1時間足らずでマルウェア配布の準備を整えたとされています。

リポジトリにはDeepSeekのロゴ、実際のベンチマークデータ、検索されやすいタグ、AI検索向けとみられるllms.txtが置かれていました。4日間で91スターと27フォークを集めていましたが、Microsoftは自然な反応と水増しの割合は確認できないとしています。

ただし、詳しく見ると不自然な点もありました。リポジトリには本物のモデルコードがなく、README、LICENSE、llms.txt、空に近いフォルダーだけが置かれていました。9件のコミットは2026年4月24日に単一の作成者によって短時間で行われ、READMEではMITライセンスをうたいながらリポジトリのメタデータではApache 2.0ライセンスになっていました。偽リリースページでは102MBの7zアーカイブが配布され、同じファイル名を保ったまま3日間で少なくとも3回ハッシュが入れ替えられていたとのことです。

こうした攻撃を避けるには、ロゴや送信者名ではなく、開いているページのドメイン、予期していないPDFや実行ファイルの有無、検索結果のリポジトリに本物のコードがあるかを確認する必要があります。組織向けには、全アカウントで多要素認証を必須化し、パスキーやフィッシング耐性のある認証を使い、条件付きアクセスでサインイン要求を追加の信号から評価することが推奨されています。メール対策では、配信後に危険だと判明したメールを隔離するZero-hour auto purgeや、クリック時にリンクを再評価するSafe Linksの有効化も挙げられています。

Microsoftは、攻撃者がAIを使って攻撃を加速させるだけでなく、AIそのものへの関心も長期的なソーシャルエンジニアリングの材料にしていると説明しています。一方で「今回の事例はあくまでAIブランド名の悪用であり、取り上げられたAIサービス各社が侵害されたことを示すものではない」とMicrosoftは強調。AIの名前が「便利な道具」だけでなく「クリックさせるための餌」にもなる状況が続くため、メール、ID、端末を横断して検知と対応を強化する必要があるとMicrosoftは述べています。