ChatGPTの正規ドメイン（chatgpt.com）を偽装ページに使うマルウェアキャンペーン|セキュリティニュースのセキュリティ対策Lab

投稿日時: 2026年06月11日更新日時: 2026年06月11日

2026年5月29日、ブラウザベースのアイデンティティセキュリティ企業Push Security（研究者：Keanu Maharaj）は、ChatGPTおよびClaude（Anthropic）の「共有会話」機能を悪用して信頼された正規AIプラットフォームのドメイン上にマルウェア配布ページを構築するキャンペーン「LLMShare」を報告しました。最大のリスクは正規ドメインを悪用しているという点にあります。

攻撃者はChatGPTの「コードレンダリング」機能を利用してchatgpt.com/s/というOpenAIの正規URL上にサービス障害を装った偽ページを作成し、「高トラフィックのためウェブ版が一時停止。デスクトップアプリをダウンロードしてください」というメッセージで被害者を偽ダウンロードサイトopenew[.]appに誘導します。このURLはchatgpt.comというOpenAIの正規ドメインに存在するため、企業ファイアウォールのURLレピュテーションチェックは通過し、注意深くURLを確認するユーザーでも疑わしいURLを検知することができません。

macOS向けのペイロードはMalwareBytesによってOdyssey Stealer（Atomic macOS Stealer / AMOSのフォーク）と特定されており、ブラウザに保存されたパスワード・暗号資産ウォレットデータ・アクティブなセッショントークンを窃取し、Ledger・Trezorの正規ウォレットアプリをトロイの木馬化バージョンに置き換えます。Claudeを使ったバリアントも確認されており、claude.ai上の共有会話が「Claude Code on Mac」インストールガイドを装い、macOSのターミナルに悪意あるcurlコマンドをペーストさせる「InstallFix（ClickFix系）」手法が使われています。本記事では攻撃チェーンの全詳細・マルウェアの仕様・検知回避の手口・組織と個人が取るべき対応を解説します。

サマリー

2026年5月29日、Push Securityが「LLMShare」キャンペーンを発表。記事執筆時点で複数の顧客環境で現在進行中のキャンペーン
攻撃の核心：ChatGPTの「コードレンダリング」機能でchatgpt.com/s/（OpenAI正規URL）上に偽のサービス障害ページを作成。URLレピュテーションチェックを素通りする
Google検索スポンサード広告（「chatgpt」「chatgpt free」「chat gpt」と入力ミスのtypo）で被害者を正規ChatGPT URLに誘導
偽障害ページ（「高トラフィックのためウェブ版を一時停止。デスクトップアプリをダウンロードしてください」）→偽ダウンロードサイトopenew[.]appへリダイレクト
検知回避の決定打：openew[.]appは条件付きレンダリングを実装——人間のブラウザには偽ChatGPTダウンロードページを表示、URLScanなどの自動スキャナーには無害なAR/VR企業サイトを返す
Claudeバリアント：claude.aiの共有会話に「Claude Code on Mac」インストールガイド＋「Apple Support」偽ブランドでcurlコマンドをターミナルにペーストさせる
ペイロード：Windows・macOS両対応。macOSはMalwarebytesがOdyssey Stealer（AMOSフォーク）と特定。ブラウザ保存済みパスワード・暗号資産ウォレット・セッショントークンを窃取
Push Securityの統計：ClickFix系攻撃の80%がメールではなく検索経由で届く
攻撃カテゴリ：InstallFix（AIツールがターミナルコマンドのインストールワークフローを「普通のこと」にしてしまった結果として成立する攻撃）

1 攻撃チェーンの全体像—Google広告からマルウェア実行まで
2 検知回避の3つの手法—なぜ従来のセキュリティが機能しないか
3 Claudeバリアント—「Apple Support」を騙るcurlコマンドペースト攻撃
4 Odyssey Stealer—macOS向けペイロードの詳細
5 組織・情報システム担当者が取るべき対応
6 FAQ
7 参考情報

攻撃チェーンの全体像—Google広告からマルウェア実行まで

Push Security公式ブログが詳述する攻撃の流れは以下の5段階です。

第1段階：Googleスポンサード広告でChatGPT検索者を捕捉

攻撃者はGoogleに広告料を払い、「chatgpt」「chatgpt free」「chat gpt」および「chatgo」「chatgot」「cvhatgpt」といった入力ミスtypoを含む高ボリュームのキーワードに対してスポンサード広告を掲載します。検索結果の上部に表示される「スポンサー」ラベル付きのこの広告は、表示されているURLが本物のchatgpt.comであるため、視覚的にも正規のリンクと見分けがつきません。

第2段階：正規のchatgpt.com/s/ URLにランディング

広告をクリックすると、被害者はchatgpt.com/s/配下の正規OpenAI URLに誘導されます。企業のファイアウォールはchatgpt.comをAllowlistに含んでいる可能性が高く、トラフィックは検査なしで通過します。

第3段階：ChatGPTの「コードレンダリング機能」で作られた偽サービス障害ページ

この正規URLにアクセスすると、表示されるのは一見するとChatGPTの公式サービス障害通知に見えるページです。しかし実態は、攻撃者がChatGPTの「コード出力レンダリング機能」（AIが生成したHTMLとCSSをブラウザ上でそのまま表示する機能）を使って作成した偽ページです。

偽メッセージは次のように読めます：「現在高トラフィックが発生しています。大量のユーザーにより、ウェブ版は一時的にご利用いただけません。デスクトップアプリをダウンロードして続けてください。」

ページの上部に「Show code（コードを表示）」というトグルが存在し、それを開くとHTML・CSSソースコードが見えます——これがChatGPTのコードレンダリング出力であることの証拠です。しかしほとんどのユーザーはこのトグルの存在に気づきません。

第4段階：openew[.]appの偽ダウンロードページへのリダイレクト

ダウンロードボタンをクリックすると、openew[.]appというOpenAI公式ダウンロードページを精巧に模倣したサイトにリダイレクトされます。OpenAIのブランディング・macOSとWindowsのダウンロードボタン・Chrome拡張機能リンク・モバイルダウンロードセクションが含まれており、本物のchatgpt.com/downloadと見比べなければ識別が困難です。

第5段階：マルウェア実行

「ChatGPT for Desktop」を装ったインストーラーを実行すると、Odyssey Stealer（macOS）または類似のパスワード窃取マルウェア（Windows）がシステムに展開されます。

検知回避の3つの手法—なぜ従来のセキュリティが機能しないか

LLMShareが従来のセキュリティ対策を無力化する理由は、以下の3つの手法の組み合わせです。

① 正規AIドメイン（chatgpt.com・claude.ai）の信頼を悪用

攻撃の配信インフラがOpenAIのchatgpt.comとAnthropicのclaude.aiの正規ドメインに存在するため、URLレピュテーションサービス・プロキシフィルター・企業ファイアウォールはこのトラフィックをブロックしません。URLを注意深く確認する習慣を持つユーザーでも、実際にchatgpt.com/s/xxxxxというURLを見ると疑わしいものとは認識しません。

② openew[.]appの条件付きレンダリング（スキャナー回避）

偽ダウンロードサイトopenew[.]appは、アクセス元を判別して表示内容を変えます。Push Securityの研究者がURLScan（セキュリティスキャナー）でこのURLを検査したところ、スキャナーには全く別のページ——ChatGPTとは無関係の「Openew」というAR/VR企業のウェブサイト——が表示されました。自動化された脅威分析ツールやセキュリティインテリジェンスサービスが悪意あるインフラを特定・分析することを困難にします。

③ InstallFix——ClickFix進化版がAIツールを利用する

Push Securityが命名した「InstallFix」は、ClickFix（ユーザー自身にターミナルコマンドをペーストさせる手法）の進化版です。AIツールが（curl、pip、npmなどによる）コマンドラインインストールを「普通の開発ワークフロー」として一般ユーザーにも浸透させた結果、「AIツールのインストールにターミナルコマンドを使うよう指示される」という状況がユーザーに疑いを持たせにくくなっています。

Push Securityのデータによれば、ClickFix系攻撃の4件中3件以上（80%）は電子メールではなく検索エンジン経由で届いています。

Claudeバリアント—「Apple Support」を騙るcurlコマンドペースト攻撃

Push SecurityはChatGPTを使った手口と並行して、Claude.ai上での類似バリアントも同一顧客環境で検出しています。

このバリアントはclaude.aiの共有会話URLの形式をとります。共有会話は「Claude Code on Mac」インストールガイドを装い、「Apple Support」のブランドで権威付けされています。会話内で、ユーザーはmacOSのターミナルを開いてcurlコマンドをペーストするよう指示されます。このコマンドを実行するとマルウェアがダウンロード・実行されます。

ChatGPT変種との違いは、ChatGPTが「偽ページ→偽ダウンロードサイト→実行ファイルダウンロード」という3段階であるのに対し、Claudeバリアントは「共有会話→ターミナルへのコマンドペースト」という2段階でより直接的です。

Push Securityは「両方のバリアントが顧客環境に現れているという事実は、このキャンペーン——または少なくとも共通の攻撃プレイブック——が異なるプラットフォームと異なるソーシャルエンジニアリングアプローチを積極的に試し、最も効果的なものを見極めようとしていることを示唆している」と指摘しています。

Odyssey Stealer—macOS向けペイロードの詳細

Malwarybytes（2026年5月下旬のレポート）が、今回の類似キャンペーンのmacOSペイロードとして特定したのがOdyssey Stealerです。これはAtomic macOS Stealer（AMOS）のフォーク（派生マルウェア）として分析されています。

Odyssey Stealerの主要な機能：Safariを含む各ブラウザに保存されたユーザー名・パスワードの窃取、ブラウザからアクティブなセッショントークン（ログイン状態を維持するCookieなど）の抽出、暗号資産ウォレットデータ（MetaMask・その他のウォレット拡張機能）の窃取、Ledger・Trezorの正規ウォレットアプリをトロイの木馬化バージョンに置き換える危険な機能（これにより後続の暗号資産取引が攻撃者に横流しされる可能性がある）。

LLMShareのChatGPTバリアントが配布している実行ファイルのハッシュ（SHA256）はVirusTotalで確認されています：de8c50e8ccd240ef9d10ec26c26eeb37a4d1cad7c1e0edf3bb6e5689ec2dde78

Windows向けペイロードも確認されていますが、具体的なマルウェアファミリーはPush Securityの開示時点で確定的に命名されていません（インフォスティーラーであることは確認済み）。

組織・情報システム担当者が取るべき対応

スポンサード（広告）リンクをクリックしない習慣の徹底：ChatGPT・Claude・その他のAIツールを検索する際は、検索結果の「スポンサー」ラベルの付いた上位リンクを避け、ブラウザのブックマークまたは直接URL入力でアクセスするよう従業員に周知してください。

公式ダウンロードURLの事前確認：ChatGPTの公式デスクトップアプリのダウンロードURLはchatgpt.com/downloadです。ChatGPTは実際にはネイティブデスクトップアプリを提供していないかまたは限定配信であることを従業員が把握しておくことが重要です——「ChatGPTデスクトップアプリをダウンロードしてください」というメッセージは即座に疑うべきサインです。

ターミナルへのコマンドペーストの前に確認：AIツールのインストールや設定でターミナルへのコマンド入力を求められた場合、そのコマンドがどのサイトに由来するかを必ず確認してください。claude.aiやchatgpt.comの共有リンクから得られたコマンドであっても、それを作成したのは第三者である可能性があります。

企業のChatGPT・Claude利用ポリシーの見直し：AIツールのAllowlistにchatgpt.com/s/（共有会話URL）やclaude.aiの共有リンクが含まれている場合、これらのURLは今後悪意ある配信インフラとして使用される可能性があることを考慮して、エンドポイント側のブラウザセキュリティ拡張やDLP設定を見直してください。

IOC確認：openew[.]appドメインへの通信はブロックしてください。SHA256ハッシュde8c50e8ccd240ef9d10ec26c26eeb37a4d1cad7c1e0edf3bb6e5689ec2dde78の実行ファイルはVirusTotalで複数のエンジンがフラグを立てています。

FAQ

Q. ChatGPT公式のchatgpt.comにアクセスしていて騙されることがあるのですか？ A. はい。今回の攻撃の核心は、chatgpt.comというOpenAIの正規ドメイン上にある共有会話URL（chatgpt.com/s/xxxxx）を使って偽ページを作成している点です。URLバーに表示されるドメインは正規のchatgpt.comなので、URLを確認する習慣を持つユーザーでも騙される可能性があります。

Q. 企業のWebフィルターやプロキシで防げますか？ A. 多くの場合、防げません。chatgpt.comとclaude.aiは企業のAllowlistに登録されていることが多く、これらのドメインへのトラフィックは検査なしで通過します。また、偽ダウンロードサイトopenew[.]appが自動スキャナーには無害なサイトを返す「条件付きレンダリング」を使っているため、URLレピュテーションサービスによるブロックも機能しにくい状況です。

Q. Push SecurityのInstallFixとClickFixはどう違いますか？ A. ClickFix（広義）はユーザー自身にターミナルコマンドをペーストさせる手法全般です。InstallFix（Push Securityの命名）は特にAIツールのインストールワークフローを模倣することで、「AIツールのインストールにコマンドラインを使うことは普通のこと」というユーザー認識を利用する変種です。LLMShareはInstallFix攻撃に、ChatGPTの正規ドメインを「信頼されたページの器」として使うという新手法を組み合わせたものです。

Q. ChatGPT公式のデスクトップアプリは存在しますか？ A. ChatGPTは2024年頃から一部のプラットフォーム向けにデスクトップアプリを提供しています。しかし、今回の攻撃が示すように、「デスクトップアプリのダウンロードを求める広告やポップアップ」は攻撃者が好んで使う誘導手口です。ダウンロードは必ず公式サイト（chatgpt.com/download）から直接アクセスして行い、Google検索の広告リンクからはダウンロードしないでください。