ChatGPTとGoogle広告悪用で広がるMacStealer/AMOS攻撃の実態と対策

デジタルセキュリティの専門家が、新たで厄介な手口を突き止めた。攻撃者がChatGPTとGoogle広告を利用し、Macの所有者にターミナルで悪意あるコマンドを実行させていたという。結果として、iCloudのパスワードやファイル、カード情報を盗み取れるトロイの木馬「MacStealer」がひそかにインストールされる。

Huntressによると、このキャンペーンは、macOSでストレージの空き容量を増やす方法をGoogleで探している人々を狙っていた。攻撃者は本物のChatGPTのチャットを作成し、ストレージを解放する手順について丁寧にやり取りを続けながら、さりげなく危険なコマンドを紛れ込ませた。そのリンクを公開したうえでGoogle広告に出稿し、検索結果の最上位へ押し上げたのである。見慣れたインターフェース、親切な語り口、すぐ効きそうな解決策——一連の流れが「普通」に見えることが誘い水になった。

ユーザーはChatGPTの会話へのリンクを目にし、信頼できる情報源だと受け止めて清掃手順に従う。ところがターミナルでコマンドを実行すると、実際にはMacStealerの派生版である「AMOS Stealer」が入り込み、パスワードを静かに収集し、root権限まで引き上げ、永続化まで設定してしまう。同じ手口は、X上のGrokのチャットでも使われた。

厄介なのは、この方法がmacOSの防御を事実上すり抜けてしまう点だ。ユーザー自身が指示した操作はシステムが信頼するため、手動でコマンドを入力しても警告は表示されない。

専門家は注意を強く促している。出所に完全な確信が持てない限り、ターミナルにコマンドを貼り付けないこと。Googleの有料リンクだからといって安全とは限らないこと。そして、ChatGPTの人気が根拠のない安心感を生みやすいことだ。これは、犯罪者がAIプラットフォームそのものをエサとして直接悪用した攻撃の初期例の一つであり、専門家はこのアプローチが今後さらに発展すると見ている。親しみやすさに包まれた罠ほど、見抜きにくい。