無料AIサービスだと思ったらマルウェア？ 巧妙な感染手口に要注意：セキュリティニュースアラート

Morphisecは、AI生成動画を装った偽サイトでインフォスティーラー「Noodlophile Stealer」を拡散する攻撃を確認した。SNSを介して拡散させてマルウェアに感染させるという。

[後藤大地，有限会社オングス]

　Morphisecは2025年5月8日（現地時間）、AI生成コンテンツを装った偽サイトを利用してマルウェアを拡散する新たなサイバー攻撃を報告した。「Noodlophile Stealer」と呼ばれる新種の情報窃取型マルウェアを配布するキャンペーンを特定している。

AIツールだと思ったらマルウェア？　巧妙な手口で感染を促す手法に注意

　発見されたキャンペーンは急速に普及するAIツールの人気の高さを悪用している。攻撃者はAIによる動画生成をうたう偽のWebサイトを構築し、ユーザーに自身の画像や動画をアップロードするよう促した上で、処理済みコンテンツのダウンロードへと誘導する。しかし実際には、ユーザーはマルウェアを含んだファイルをダウンロードさせられてしまう。

　偽サイトは「Facebook」のグループやSNS投稿を通じて宣伝されており、このような宣伝に引き寄せられたユーザーは、AIツールを無料で使えると信じてファイルをアップロードし、最終的に悪意のあるソフトウェアを自身の端末にインストールしてしまう。

　Noodlophile StealerはWebブラウザに保存した資格情報、暗号資産のウォレット、個人情報などを盗み出す機能を持つ。さらに、遠隔操作型トロイの木馬「XWorm」を併用するケースもあり、感染端末への恒久的な侵入が可能になる。このマルウェアは、一般のマルウェアトラッカーにはまだ登録されておらず、新しいタイプとみられている。

　攻撃の流れは巧妙で最初にダウンロードされるファイル「Video Dream MachineAI.mp4.exe」は、あたかも動画ファイルのような名称を持ち、実際には正規の動画編集ソフト「CapCut」を悪用した実行ファイルとなっている。このファイルを実行すると、一連の隠しフォルダやスクリプトが作動し、段階的にマルウェアを展開する。最終的にPythonで書かれたスクリプトが遠隔サーバからNoodlophileとXWormをダウンロードしてメモリで実行する仕組みとなっている。

　注目すべきは、この攻撃がAIへの信頼を逆手に取っている点にある。従来のマルウェア拡散が海賊版ソフトやゲームチートを装っていたのに対し、今回は新たなユーザー層を狙っている。MorphisecはNoodlophileの開発者がマルウェアの販売をFacebookでしている可能性があることにも言及しており、開発者はベトナム語を使っていることから、東南アジア地域に拠点を置くと考えられている。

　この事例は最新技術に便乗したサイバー攻撃の危険性を示しており、ユーザーはAIサービスを利用する際にも十分な注意を払うことが求められている。特に正体不明のWebサイトから提供されるダウンロードファイルや、SNSで急速に拡散しているサービスには慎重に扱う必要がある。