アジアを中心に被害拡大中 Kling AIを模した偽Webサイトに用心を：セキュリティニュースアラート

AIコンテンツ生成プラットフォーム「Kling AI」を模倣した偽のWebサイトを通じてマルウェアを配布するサイバー攻撃キャンペーンが見つかった。偽のWebサイトは非常に精巧に作られており、一見して判別は困難だという。

[後藤大地，有限会社オングス]

　Check Point Software Technologiesは2025年5月20日（現地時間）、AIコンテンツ生成プラットフォーム「Kling AI」を模倣した偽のWebサイトを通じてマルウェアを配布するサイバー攻撃キャンペーンを発見したと発表した。

　サイバー攻撃者は「Facebook」の偽アカウントや広告を利用し、ユーザーを精巧に作られた偽のKling AIサイトに誘導するという。

アジアを中心に被害拡大中　Kling AIを模した偽Webサイトに用心を

　この偽のWebサイトでは、ユーザーが画像やテキストを入力すると、AIで生成されたメディアファイルのように見せかけたファイルが提供される。しかし、これらのファイルは実際には「Windows」の実行ファイルであり、拡張子にハングルのフィラー文字を使用して本来のファイル形式を隠蔽（いんぺい）していた。ユーザーがこれらのファイルを開くと、情報窃取型マルウェアがインストールされる仕組みになっている。

　マルウェアの第一段階としては、.NETのNative AOT（Ahead-Of-Time）コンパイルを利用したローダーが実行される。このローダーは、仮想環境で実行されている場合には動作せず、解析ツールの検出を逃れるための対策が施されている。さらに、レジストリーへの書き込みや正規のシステムプロセスへのコード注入を実行し、持続的な感染状態を維持する。

　第二段階では、「PureHVNC」と呼ばれるリモートアクセス型トロイの木馬（RAT）が展開される。このRATは、Webブラウザに保存された認証情報やセッショントークン、暗号資産ウォレットの拡張機能などから機密情報を窃取する機能を持っている。特定のウィンドウタイトルを監視し、興味深いキーワードが含まれる場合にはスクリーンショットを取得して攻撃者に送信するプラグインも確認されている。

　この攻撃キャンペーンはアジア地域を中心に世界中で被害が報告されているという。攻撃者は偽のWebサイト（klingaimedia[.]com）を運用しており、これらのサイトは本物のKling AIと見分けがつかないほど精巧に作られている。Facebookでも約70件の偽広告が確認されており、広範囲にわたる影響が懸念されている。

　調査の結果、攻撃キャンペーンにはベトナム語のデバッグメッセージが含まれていることが分かっている。これによって攻撃者はベトナムに拠点を置く可能性があるとされている。ユーザーは信頼できない広告やリンクを避け、提供されたファイルの拡張子やプロパティを慎重に確認するといった対策を継続することが望まれる。