Microsoftは、偽のChatGPTデスクトップアプリを通じて配布される高度なバックドア「PipeMagic」を発見しました。
ゼロデイ脆弱性を突いたランサムウェア攻撃に利用されており、注意が必要です
目次
PipeMagicとは何か
Microsoft Threat Intelligenceは2025年8月、「PipeMagic」と名付けられた新種のモジュール型バックドアを確認しました。これは、オープンソースの ChatGPTデスクトップアプリを装ったトロイの木馬版(https://github.com/lencx/ChatGPT)を通じて拡散され、ゼロデイ脆弱性(CVE-2025-29824 / Windows CLFSの特権昇格バグ)と組み合わせて利用されているものです。
攻撃は金銭目的のグループ Storm-2460 に帰属され、標的は米国・欧州・南米・中東の IT・金融・不動産業界 に及んでいます。Microsoftは「被害は限定的だが、ゼロデイと高度なモジュール型マルウェアを組み合わせた点が特に危険」と警告しています。
偽ChatGPTアプリによる感染の流れ
-
攻撃者は GitHubで公開されている正規のChatGPT Desktopプロジェクトを改ざん
-
ユーザーが非公式サイトなどから入手 → 不正コード入りのアプリを実行
-
メモリ上で PipeMagicを展開・実行
-
Windows CLFSの脆弱性を悪用し 権限昇格
-
ランサムウェアの展開 へ進行
※正規のGitHub版は無害ですが、非公式配布物に注意が必要です。
PipeMagicの特徴(なぜ防御が難しいのか)
PipeMagicは「モジュール式アーキテクチャ」を持ち、必要に応じて機能を追加・差し替えできます。内部的には以下のような仕組みで構成されています。
-
リンクリスト構造でモジュール管理
-
Payloadリスト:未実行のモジュールを保持
-
Executeリスト:実行中のモジュールを管理
-
Networkリスト:C2通信専用モジュールを管理
-
Unknownリスト:用途不明だが動的に利用される
-
-
C2通信はネットワークモジュールに分離
-
WebSocket風の通信を確立し、検知を回避
-
システム情報(OS、ユーザー、IP、権限など)を送信
-
受け取った指令でモジュール追加、更新、削除、プロセス列挙、自己削除まで実行可能
-
こうした分離設計と暗号化通信により、セキュリティ製品での検出・解析が困難になっています。
Microsoftが確認した挙動の一例
-
攻撃者は
certutilを使い、改ざんされたMSBuildファイルを正規サイトからダウンロード -
メモリ上にPipeMagicを展開
-
生成されたBot IDごとに Named Pipe(名前付きパイプ)通信を確立
-
RC4暗号化とSHA-1ハッシュでモジュールの整合性を検証
-
権限昇格後、C2からランサムウェアを受信・展開
防御のために推奨される対策
Microsoftは以下のセキュリティ設定を推奨しています。
-
Microsoft Defender for Endpointの改ざん防止機能を有効化
-
ネットワーク保護を有効化し、不審な通信を遮断
-
EDRブロックモードを有効化し、他製品で検出されない脅威も阻止
-
自動調査と修復機能をフル稼働させ、初動対応を迅速化
-
クラウド配信型保護をONにし、最新の未知マルウェアにも対応
加えて、未パッチのWindows更新適用が必須です。
参照







