2026年5月29日、セキュリティ企業Push Securityは、ChatGPTの会話共有機能を悪用してマルウェアを配布する新たなキャンペーン「LLMShare」を発表しました。最大のリスクは攻撃の配信元が正規のchatgpt.comドメインである点にあります。企業のWebフィルター・ファイアウォール・URLレピュテーションチェックのほぼすべてがOpenAIのドメインを安全と判定するため、従来の防御が機能しません。
攻撃者はGoogleの検索広告(マルバタイジング)で「ChatGPT」を検索したユーザーを誘導し、macOS環境にはOdyssey Stealerというインフォスティーラーを、Windows環境にはVM・サンドボックス検出機能付きの実行ファイルを送り込みます。
報告時点でキャンペーンはまだ稼働中であり、Claude.aiでも類似手口が確認されています。本記事では5ステップの攻撃チェーン、クローキングによるセキュリティ回避の構造、各OS向けペイロードの挙動、そして組織が今すぐ取るべき対応策を解説します。
サマリー
Push Securityが命名・発見した「LLMShare」は、ChatGPTの共有コンテンツ機能を悪用し、正規のchatgpt.com/s/[unique-id]URLにカスタムHTMLで偽の障害通知ページを表示する新手口
攻撃の起点はGoogleの有料検索広告(マルバタイジング)。「chatgpt」「chatgpt download」「chatgpt desktop app」などの検索ワードに対してスポンサー広告が表示される
chatgpt.comは世界中のURLフィルタ・ファイアウォールが信頼するドメインのため、従来型のURLレピュテーションベースのセキュリティ対策が無効化される
ダウンロードボタンのリンク先はopenew[.]appという偽のChatGPTダウンロードページで、クローキングにより実際のユーザーとセキュリティスキャナーに異なるコンテンツを表示
macOS環境にはOdyssey Stealer(インフォスティーラー)、Windows環境にはVM・サンドボックス検出機能付きの悪意ある実行ファイルを配信
Claude.aiの共有会話機能を使った類似キャンペーンも並行して確認されており、LLMプラットフォーム全体に及ぶ構造的問題となっている
Push Securityのデータでは、ClickFix系攻撃の5件中4件がメールではなく検索結果経由で届いており、マルバタイジングがマルウェア配布の主要チャネルになっている
LLMShareの概要—「正規ドメインが配信元」になる新しい攻撃モデル
Push Securityの公式レポート(著者:Keanu Maharaj、2026年5月29日)によれば、LLMShareはChatGPTやClaudeといったAIチャットボットプラットフォームの共有コンテンツ機能を悪用し、正規ドメイン上でホストされたページを通じてマルウェアを配布する手口です。
従来のマルウェア配布では、攻撃者が用意した悪意あるドメインや、見慣れないURLが配信元でした。
LLMShareの革新的な点は、ページそのものがchatgpt.comまたはclaude.aiという信頼されたドメイン上に存在することです。
URLを確認する習慣のある慎重なユーザーでさえ、正規に見えるドメイン名を確認してクリックしてしまいます。そして企業のWebフィルター・プロキシ・ファイアウォールも同様に、このドメインを安全と判定します。
この手口はPush Securityが以前に解説した「InstallFix攻撃」——ClickFix攻撃ファミリーの一種で、AIツールがコマンドラインのインストール手順を正規化したことにより、一般ユーザーが悪意あるターミナルコマンドを区別できなくなった現象を利用する手口——の最新進化形です。
攻撃チェーンの全容—マルバタイジングから偽ダウンロードまでの5ステップ
攻撃フローは以下のとおりです。
ステップ1:Googleマルバタイジングによる誘導。攻撃者は「chatgpt」「chatgpt free」「chat gpt」「chatgpt desktop app」「chatgpt download」といった検索ワード、さらに「chatgo」「chatgot」「cvhatgpt」などのタイポ(入力ミス)に対してスポンサー検索広告を購入します。これらの広告はGoogleの検索結果ページに正規の広告として表示されます。
ステップ2:正規ChatGPT共有URLへの誘導。広告をクリックしたユーザーはchatgpt.com/s/[unique-id]という正規のChatGPT共有リンク形式のURLに誘導されます。このURLはOpenAIのドメインに属するため、URLレピュテーションシステムは警告を発しません。
ステップ3:偽の障害通知ページの表示。共有リンクの先に表示されるのは、通常のチャット会話ではありません。
攻撃者はChatGPTのコードレンダリング機能を利用し、カスタムHTMLとCSSで作成した偽のサービス障害通知ページを表示します。ページには「We’re experiencing high traffic right now. Our website is temporarily unavailable due to a large number of users. Download our desktop app to continue.(ただいまアクセスが集中しています。ユーザー数が多いためウェブサイトは一時的にご利用いただけません。続けるにはデスクトップアプリをダウンロードしてください)」というメッセージと目立つダウンロードボタンが表示されます。
ページ上部に「Show code」と「Remix with ChatGPT」ボタンが存在し、これをクリックすると偽ページの実体——ChatGPTのシステム通知に見せかけたHTMLコード——が明らかになりますが、一般ユーザーがこのボタンに気づくことはほとんどありません。
ステップ4:偽のChatGPTダウンロードページへの誘導。ダウンロードボタンをクリックすると、openew[.]appという外部サイトへリダイレクトされます。このサイトはChatGPTの公式デスクトップアプリダウンロードページを精巧に複製しており、OpenAIのブランディング、macOS・Windowsダウンロードボタン、Chrome拡張機能リンク、モバイルダウンロードセクションを備えています。
ステップ5:マルウェアのダウンロードと実行。ユーザーが「ChatGPT for Desktop」と称するファイルをダウンロードして実行すると感染が成立します。
なぜURLフィルタとファイアウォールをすり抜けるのか—クローキングと正規ドメインの二重構造
このキャンペーンが従来型の防御を回避できる理由は2つの技術的特徴にあります。
第1の特徴が正規ドメインの利用です。chatgpt.comはすべてのURLレピュテーションシステムが安全と判定するドメインです。企業のWebフィルター、ファイアウォールのURLブロックリスト、プロキシサーバーのカテゴリフィルタリングのいずれも、このドメインへのアクセスをブロックしません。攻撃者が独自ドメインを用意するのではなく、OpenAIのインフラを「踏み台」として利用することで、防御の外側ではなく内側から攻撃を実行します。
第2の特徴がクローキング(条件付きコンテンツ表示)です。openew[.]appの偽ダウンロードページは、訪問者を識別して異なるコンテンツを提供します。
一般ユーザーのブラウザからアクセスした場合は偽のChatGPTダウンロードページを表示しますが、URLScanなどのセキュリティスキャナーやボットからのアクセスに対しては、AR/VR企業の一般的なWebサイトを表示します。この手法により、脅威インテリジェンスサービスやセキュリティチームによる調査・分析が困難になります。Push Securityのレポートでは、この広告が地域・時間帯・デバイスなどで細かくターゲティングされているため、再現性がなく調査がさらに難しいと指摘されています。
Windows・macOSへの個別ペイロード—Odyssey StealerとVMチェック付き実行ファイル
macOS環境ではOdyssey Stealer(インフォスティーラー型マルウェア)がドロップされます。インフォスティーラーはブラウザに保存された認証情報・セッションクッキー・クレジットカード情報・暗号資産ウォレットのシークレットキーなどを窃取して攻撃者のC2サーバーに送信します。
Windows環境でダウンロードされる実行ファイルは、BleepingComputerがAny.Runでテストした際に、複数の解析妨害動作を実行することが確認されています。具体的には、物理的なデスクトップ環境か仮想マシン(サンドボックス)上で動作しているかを確認するコマンドを実行し、セキュリティソフトウェアに関連するレジストリキーを検索します。これはフォレンジック解析やマルウェアサンドボックス環境での自動解析を検出して動作を停止させるためのアンチ解析技術です。なお、このファイルはVirusTotalでも悪意あるファイルとして検出されています。
Claude.aiでも同様の手口—LLMプラットフォーム全体に及ぶ問題
今回のChatGPTを使った「偽障害通知ページ」手口と並行して、Claude.aiの共有会話機能を使った類似キャンペーンも同社顧客環境で検出されています。
Claude.ai版は以前BleepingComputerが報告したパターンに沿ったもので、「Claude Code on Mac」というインストールガイドに見せかけた共有チャットが「Apple Support」の名義で作成され、macOSターミナルにペーストすべきcurlコマンドが記載されています。このコマンドを実行するとマルウェアがダウンロード・実行されます。ChatGPT版とClaude.ai版の両方が同社顧客環境で同時に確認されていることは、単一の攻撃者または共有された攻撃プレイブックが、異なるプラットフォームと異なるソーシャルエンジニアリング手法を比較テストしながら「最も効果的な変種」を探索していることを示唆しています。
なお、Push Securityのレポートではアドレスopenew[.]appなどの悪意あるURLが記載されていますが、セキュリティ対策Labでは個人への誤った誘導を防ぐためにURLの完全な記載は控えます。当該URLにアクセスする必要がある場合はPush Securityの原文レポートを参照してください。
マルバタイジングがメールを超えた—検索経由攻撃が5件中4件を占める現実
ClickFix系攻撃の5件中4件はメールではなく検索エンジンの検索結果経由で被害者に届いています。マルウェア配布チャネルにおけるメールとWebの比率が逆転しつつあるという、重要な傾向の変化です。
この背景には、メールセキュリティツールの高度化があります。スパムフィルタやメールゲートウェイが改善されるにつれて攻撃者は新たなチャネルを模索しており、GoogleやBingの検索広告プラットフォームが新たな主要配布経路になっています。検索広告は地理・時間帯・デバイス・検索ワードで精密なターゲティングが可能であるため、特定の組織や職種を狙った「標的型マルバタイジング」も技術的に可能です。
情報システム担当者がエンドユーザーに伝えるべきメッセージとして、「メール以外からも危険なリンクが届く」「Googleの検索広告(スポンサー広告)にも偽のリンクが存在する」という認識の更新が重要です。Booking.comのフィッシング事案やFIFA 2026不審ドメインでも確認されているとおり、正規に見えるドメインや広告からのフィッシング・マルウェア配布は2026年の主要な攻撃トレンドです。
情報システム担当者が取るべき対応
まずエンドユーザー向けの周知事項として、「Googleの検索広告(スポンサー表示)をクリックしてソフトウェアをダウンロードしない」「ソフトウェアは公式サイトのURL(chatgpt.com/downloadなど)に直接アクセスして入手する」という2点を社内に徹底してください。特にChatGPTをよく使う部署や在宅勤務者への注意喚起が有効です。
次に企業のWebフィルタリングポリシーの見直しとして、OpenAIの共有URLパターン(chatgpt.com/s/*)や、Claude.aiの共有会話URL(claude.ai/share/*)をそのまま信頼するのではなく、これらへの業務上の必要性を評価した上で適切なアクセス制御を検討してください。ただし、ChatGPT・Claudeを業務利用している組織では全ブロックは現実的でないため、URLのサブパスレベルでの分類とユーザー教育の組み合わせが現実的なアプローチです。
また、エンドポイントセキュリティの観点では、Odyssey Stealer(macOS)に対応した最新のシグネチャが適用されているかを確認してください。Windowsのペイロードはアンチ解析技術を持つため、振る舞い検知(NGAV・EDR)による検出が有効です。
FAQ
Q. ChatGPTの共有リンクを開くこと自体は危険ですか? A. 共有リンクを開くこと自体が危険なわけではありません。危険なのは「Googleの検索広告から誘導された場合」と「ページ内のダウンロードボタンをクリックした場合」です。正規の共有リンクには会話の内容が表示されますが、今回の偽ページは「障害通知」のみ表示される点が異なります。チャット内容が表示されずソフトウェアのダウンロードを促すメッセージが出た場合は、ページを閉じてください。
Q. openew[.]appのようなサイトはウイルス対策ソフトで検出されますか? A. セキュリティスキャナーに対してはAR/VR企業の別コンテンツを表示するクローキングが使われているため、URLレピュテーションベースのブロックが効かない可能性があります。BleepingComputerのテストでは、ダウンロードされた実行ファイルそのものはVirusTotalで悪意あるファイルとして検出されていますが、エンドポイントの振る舞い検知(EDR)の導入が有効な対策となります。
Q. 「LLMShare」という名称はどういう意味ですか? A. Push Securityがこのキャンペーンにつけたコードネームです。LLM(Large Language Model、大規模言語モデル)の共有(Share)機能を悪用しているという攻撃の特徴を示しています。
Q. Claude.aiを業務利用している場合の対策は? A. Claude.aiの共有会話(claude.ai/share/*)を通じたマルウェア配布も確認されています。「Apple Support」などの権威ある名称を使った共有会話が、macOSターミナルへのコマンド貼り付けを誘導するケースが報告されています。AIツールの公式インストールガイドに見せかけたページでコマンドの実行を求められた場合は、公式ドキュメントで裏付けを取ってから実行してください。
Q. 今後、OpenAIやAnthropicはこの問題に対処しますか? A. Push Securityのレポートには両社への直接の声明は含まれていません。共有コンテンツのコードレンダリング機能そのものはAI活用の観点から合法的な用途もあるため、機能の廃止ではなく、不審な共有URLの検知・削除やレート制限など、プラットフォーム側の対策が求められます。
参考情報
この記事をシェアする
メールマガジン
最新のセキュリティ情報やセキュリティ対策に関する情報をお届けします。
投稿者:三村
セキュリティ製品を手がける上場企業にて、SOC(セキュリティオペレーションセンター)運営およびWebアプリケーション脆弱性診断の営業に8年間従事。その後、システムエンジニアへ転身し、MDMや人事系SaaSの開発に携わる。
8年の実務経験と開発者としての知見を活かし、「セキュリティ対策Lab」ではダークウェブ調査、セキュリティインシデントの分析、および高度なセキュリティ対策解説の執筆・編集を統括しています。
LinkedIn(外部サイト)