AIプラットフォームが悪用された新たな脅威
サイバーセキュリティの情勢は新たな局面を迎えました。2025年12月5日、Huntress社は、OpenAIのChatGPTとxAIのGrokプラットフォームにおけるAI会話を介して、Atomic macOS Stealer (AMOS) が展開される巧妙なキャンペーンを特定しました。
このキャンペーンはSEO操作を通じて、信頼できるトラブルシューティングガイドとして検索結果に表示されます。特に危険なのは、悪意のあるダウンロード、インストーラー型トロイの木馬、従来のセキュリティ警告が不要である点です。単なる検索クエリ、クリック、そしてコマンドのコピー&ペーストだけで感染が成立します。
ソーシャルエンジニアリングの進化
この攻撃は、検索エンジンの信頼性、プラットフォームの正当性、そしてAIによって生成されたコンテンツの権威という三つの信頼メカニズムを悪用しています。ユーザーが「macOSのディスク容量をクリアする方法」といった一般的なmacOSのメンテナンスに関するクエリを検索すると、上位に表示される結果は、正規のドメインでホストされているChatGPTやGrokの会話へと誘導します。
これらの会話は、専門的なフォーマット、番号付きのステップ、そしてシステムセキュリティに関する安心感を与える言葉遣いで、わかりやすいトラブルシューティングガイドとして提示されます。被害者は、提供されたターミナルコマンドを無意識に実行することで、資格情報の窃取、権限昇格、データの外部流出を静かに実行する多段階感染チェーンを起動させてしまいます。
Huntress社は調査中、「iMacのデータをクリアする方法」、「iMacのシステムデータをクリアする方法」、「Macのストレージを解放する」など複数のクエリでこれらの汚染された結果を再現し、これが特定のトラブルシューティング検索を標的とした意図的で広範なキャンペーンであることを確認しました。
AMOS Stealerの技術的詳細
ChatGPTとGrokの両方で確認されたキャンペーンは、組織的な脅威アクターによる体系的なプラットフォーム悪用を示唆しています。AMOSの展開における技術的な巧妙さも脅威を増大させています。
初期コマンドは、検証を装ってユーザーのシステムパスワードを要求するbashスクリプトを実行します。このスクリプトは、正規のmacOS認証ダイアログを表示する代わりに、dscl-authonlyコマンドを使用して、システムUIプロンプトやTouch IDの代替なしにバックグラウンドでパスワードの正当性を静かに検証します。資格情報が検証されると、パスワードはプレーンテキストで保存され、直ちにsudo -Sを介して悪用され、その後のユーザー操作なしに完全な管理者制御を可能にします。
第二段階では、コアとなるStealerのペイロードをユーザーのホームディレクトリ内の隠しディレクトリ(.helper)にダウンロードおよびインストールします。マルウェアはその後、Ledger WalletやTrezor Suiteを含む正規の暗号資産ウォレットアプリケーションを検索し、「セキュリティ上の理由」と称してユーザーにシードフレーズの再入力を促すトロイの木馬化されたバージョンに置き換えます。
永続化メカニズム
Stealerは、暗号資産ウォレット、ブラウザの資格情報データベース、macOSユーザーのキーチェーンエントリ、およびファイルシステム全体の機密ファイルを標的とする包括的なデータ収集機能を維持します。特に、その永続化メカニズムは巧妙です。
LaunchDaemonのplistは、継続的に実行される隠されたAppleScriptウォッチャーループを実行します。- これは、アクティブなGUIセッションを維持しているユーザーを毎秒チェックします。
- メインの
.helperバイナリが終了またはクラッシュした場合、ウォッチャーは1秒以内に自動的に再起動します。 - これにより、再起動や手動での終了試行に関わらず継続的な実行が保証され、従来のバックグラウンドデーモンでは利用できないセッション固有の資格情報ストアおよび認証されたアプリケーションデータへのアクセスが維持されます。
検出の課題と防御策
防御側にとって、このキャンペーンは非常に困難な検出課題を提示します。初期の感染経路であるユーザーが実行するターミナルコマンドは、正規の管理タスクと見分けがつかないため、従来のシグネチャベースのアプローチは機能しません。
組織は、行動異常(osascriptの資格情報要求、異常なdscl-authonlyの使用、ホームディレクトリ内の隠し実行可能ファイル、パイプされたパスワードでsudoを実行するプロセスなど)の監視に焦点を移す必要があります。
エンドユーザーも同様に困難な状況に直面しています。この攻撃は本能や懐疑心と戦うのではなく、既存の信頼を直接悪用します。ChatGPTからターミナルコマンドをコピーすることは、生産的で安全だと感じられ、本物の問題に対する簡単な解決策に見えてしまいます。AIアシスタントが日常のワークフローやオペレーティングシステムにますます組み込まれるにつれて、この配信方法は必然的に増殖するでしょう。
結論:AI時代の新たな脅威モデル
このキャンペーンは、macOSセキュリティにおける画期的な瞬間を示しています。真の突破口はAMOS自体の技術的な洗練さではなく、セキュリティ制御を回避し、同時に人間の脅威モデルを回避する配信チャネルが発見されたことにあります。組織は、プラットフォームの信頼がユーザー生成コンテンツに自動的に転移しないことを認識する必要があります。
最も危険なエクスプロイトはもはやコードを標的とするのではなく、行動とAIとの関係を標的とします。2025年以降、この区別が防御が成功するか失敗するかを決定するでしょう。