偽のChatGPT デスクトップアプリを悪用する「PipeMagic」バックドアが確認-Microsoftが詳細分析を公開

セキュリティニュース

投稿日時: 更新日時:

偽のChatGPT デスクトップアプリを悪用する「PipeMagic」バックドアが確認-Microsoftが詳細分析を公開

Microsoftは、偽のChatGPTデスクトップアプリを通じて配布される高度なバックドア「PipeMagic」を発見しました。

ゼロデイ脆弱性を突いたランサムウェア攻撃に利用されており、注意が必要です

PipeMagicとは何か

Microsoft Threat Intelligenceは2025年8月、「PipeMagic」と名付けられた新種のモジュール型バックドアを確認しました。これは、オープンソースの ChatGPTデスクトップアプリを装ったトロイの木馬版(https://github.com/lencx/ChatGPT)を通じて拡散され、ゼロデイ脆弱性(CVE-2025-29824 / Windows CLFSの特権昇格バグ)と組み合わせて利用されているものです。

攻撃は金銭目的のグループ Storm-2460 に帰属され、標的は米国・欧州・南米・中東の IT・金融・不動産業界 に及んでいます。Microsoftは「被害は限定的だが、ゼロデイと高度なモジュール型マルウェアを組み合わせた点が特に危険」と警告しています。

偽ChatGPTアプリによる感染の流れ

  1. 攻撃者は GitHubで公開されている正規のChatGPT Desktopプロジェクトを改ざん

  2. ユーザーが非公式サイトなどから入手 → 不正コード入りのアプリを実行

  3. メモリ上で PipeMagicを展開・実行

  4. Windows CLFSの脆弱性を悪用し 権限昇格

  5. ランサムウェアの展開 へ進行

※正規のGitHub版は無害ですが、非公式配布物に注意が必要です。

PipeMagicの特徴(なぜ防御が難しいのか)

PipeMagicは「モジュール式アーキテクチャ」を持ち、必要に応じて機能を追加・差し替えできます。内部的には以下のような仕組みで構成されています。

  • リンクリスト構造でモジュール管理

    • Payloadリスト:未実行のモジュールを保持

    • Executeリスト:実行中のモジュールを管理

    • Networkリスト:C2通信専用モジュールを管理

    • Unknownリスト:用途不明だが動的に利用される

  • C2通信はネットワークモジュールに分離

    • WebSocket風の通信を確立し、検知を回避

    • システム情報(OS、ユーザー、IP、権限など)を送信

    • 受け取った指令でモジュール追加、更新、削除、プロセス列挙、自己削除まで実行可能

こうした分離設計と暗号化通信により、セキュリティ製品での検出・解析が困難になっています。

Microsoftが確認した挙動の一例

  • 攻撃者は certutil を使い、改ざんされたMSBuildファイルを正規サイトからダウンロード

  • メモリ上にPipeMagicを展開

  • 生成されたBot IDごとに Named Pipe(名前付きパイプ)通信を確立

  • RC4暗号化とSHA-1ハッシュでモジュールの整合性を検証

  • 権限昇格後、C2からランサムウェアを受信・展開

防御のために推奨される対策

Microsoftは以下のセキュリティ設定を推奨しています。

  • Microsoft Defender for Endpointの改ざん防止機能を有効化

  • ネットワーク保護を有効化し、不審な通信を遮断

  • EDRブロックモードを有効化し、他製品で検出されない脅威も阻止

  • 自動調査と修復機能をフル稼働させ、初動対応を迅速化

  • クラウド配信型保護をONにし、最新の未知マルウェアにも対応

加えて、未パッチのWindows更新適用が必須です。

参照

https://www.microsoft.com/en-us/security/blog/2025/08/18/dissecting-pipemagic-inside-the-architecture-of-a-modular-backdoor-framework/