2025年6月、ZscalerのThreatLabzチームがAI関連の検索キーワードを悪用したマルウェア配布キャンペーンを確認しました。ChatGPTやLuma AIといった話題のツールを検索したユーザーが、マルウェアを仕込んだ偽サイトに誘導されるという手口です。
今回の調査では、Vidar、Lumma、Legion Loaderなどのマルウェアが配布されていることが判明しました。
目次
ブラックハットSEOを利用し偽サイトへ誘導
攻撃者はWordPressなどで構築した偽のAI紹介サイトを検索上位に表示させ、ユーザーのクリックを誘導します。
アクセスすると、JavaScriptが実行され、ユーザーの環境情報を収集し、暗号化したうえで攻撃者のサーバーに送信。条件に応じてマルウェアがダウンロードされるサイトへリダイレクトされます。
ブラックハットSEOとは
ブラックハットSEOは低品質のサイトを上位に表示させる手法です。
具体的には対外的に上位になりやすい大学や公共機関のサイトを一時的に乗っ取り、オンラインカジノサイトのキーワードで検索エンジンで上位表示を試みたり、売買されている権威性の高いドメインを合法的に購入し、パパ活サイトを表示させるなどです。
感染の流れ
検索結果に表示された偽サイトにアクセス
例えば、ユーザーが「Luma AI ブログ」のようなクエリを検索すると、下図に示すように、悪意のあるページが検索結果の上位に表示されることがよくあります。

画像:Zscaler
このサイトは一見すると正規サイトに見えますが、マルウェアを拡散する悪質なサイトです。
サイトへアクセスすると以下コンテンツが表示されます。

画像:Zscaler
サイトへアクセスすると情報収集とマルウェア拡散が開始
サイトへアクセスするとJavaScriptが起動し、ブラウザ情報などを収集されます。
収集した情報は、JavaScript内でランダムなXORキーを用いて暗号化されます。その後、Base64エンコードを施された状態で攻撃者のサーバーにGETリクエストとして送信されます。
攻撃者のサーバーは、この暗号化された情報を復号し、ユーザーの環境条件(例:ブラウザ、画面解像度、IPアドレスなど)を基に、
最適なリダイレクト先を判断します。その結果、マルウェアのダウンロードページに自動的に誘導される仕組みとなっています。
初回アクセス時とは異なる挙動を再訪時に見せ、アドウェアやPUAなど別の手口で収益化するケースもあります。
主なマルウェアの特徴
Vidar/Lumma Stealer
- 800MB超のNSISインストーラー内にマルウェアを隠蔽
- AutoITスクリプトでマルウェアを展開
- EDRやセキュリティソフトを検出し自動で無効化する機能を搭載
Legion Loader
- パスワード付きのZIPと、パスワード表示用画像で構成
- DLLサイドローディングやプロセスホロウィングを利用
- 暗号資産窃取用のブラウザ拡張機能を最終的に配布
実務上の対応ポイント
- 怪しい検索結果やURLへのアクセスを避ける
- インストーラー形式のZIPファイルには注意
- EDR・サンドボックスなどの導入とチューニング
- 業務用ブラウザへの不要な拡張機能の制限
参照








