偽のChatGPTのWindowsデスクトップクライアントにご注意を

サイバー犯罪者は、Windows用ChatGPTデスクトップクライアントに見せかけ、情報スティーラー型トロイの木馬を仕掛けています。

「何かが流行ると犯罪者が悪用する」というお決まりのパターンがまたも発見されました。今回は、最近のニュースを席巻している、OpenAIによって開発されたChatGPTチャットボットの話です。

ChatGPTの人気度

OpenAIがAIチャットボットの利用を一般公開したことで、事実上一日で、インターネットが全く別の世界に変わったといっても過言ではありません。AIチャットボットとは、膨大なテキストのコーパスでトレーニングされた、ニューラルネットワークに基づくチャットを意味します。

このチャットを使うとどんなことができるのか、世界中のユーザーが次々と試し、その革新的なAI技術を称賛しました。ChatGPTの対話の技術は、まるで生身の人間と話しているかのように会話を続けることを可能にします。さらには、選んだトピックについて、特定のスタイルで短い文章を書くことに優れているという点です。指定の形式に適応させることもでき、例えば、詩や歌詞も書くことができます。基本的に新人のコピーライターと引けを取らない文章を書くことができます。これは、ありとあらゆる事柄について、インターネット上に存在する大量の知識を読み込むことで実現されています。ChatGPTでは、ニッチなトピックについてもアドバイスを求めることができ、ほとんどの場合、理にかなったヒントが提示されます。実際、ChatGPTは嘘をついたり誤解を広めることもありますが、まれなケースと言えるでしょう。

ChatGPTの活用は主流となりつつあります。これは単に遊び(シェークスピアのソネットのようにホビットの話を聞かせて、とチャットしたり話しかけるといったように利用する)だけでなく、ビジネスでの利用についてもいえます。チャットボットの力を借りて、Webサイトのコンテンツを手早く書いたり、製品説明を作成したり、ゲームのクエストを生成するなど、幅広いタスクを極めて短時間でこなす手伝いができるため、多様な業種に携わる人々が日常業務をこなす上で役に立ちます。

ChatGPTサーバーは公開直後、すぐに過負荷状態となり、Open AIはキャパシティを増加させる必要がありました。同社はほどなくしてMicrosoftからの投資を獲得し、制限があるものの、現在は Bingに統合されています。これを受けて、Googleは、自社ニューラルネットワークBardの展開を急いでいます。これは似たような機能を提供するものですが、市場展開できるほど完全には整っていないと認識しています。

ChatGPTがどのようにサイバーセキュリティの世界を変えるのかについては、こちらのブログをご覧ください。現在のところ、チャットボットをフィッシング攻撃やマルウェアの展開に悪用するということは理論上の話でしかありません。しかし実際には、ChatGPTがマルウェア感染の罠として利用されています。

詐欺師がChatGPTを利用する理由

詐欺師が突如としてChatGPTを罠として利用するようになったのはなぜでしょうか。答えは、このサービスが非常に人気だからです。

ChatGPTは無料で利用可能とはいえ、全ての人々がこれを簡単に利用できるとは限りません。まず、OpenAIのWebサイトでアカウントを登録します。このとき、メールアドレスと電話番号を入力する必要があります。ところが、一部の国コードは受け入れられておらず、現在のところ、ロシア、中国、エジプト、イラン、その他数か国のコードは、ChatGPTへ登録することができません。そのため、すべての人が簡単にアカウントを取得できるわけではありません。

次に、OpenAIのWebサイトでアカウントを作成できたとしても、 実際にChatGPTを使用できるとは言えません。というのも、AIを試してみたいユーザーや、マーケティングの宣伝文句を書くように頼んだり、その他のタスクを依頼するユーザーによってこのサービスがほぼ常に過負荷状態だからです。このようなユーザーが利用することは、OpenAIにとっては喜ばしいことで、これを機にサブスクリプションプラン(購読サービスプラン)の提供を開始しました。月額20米ドルで、ユーザーはサービスへの優先アクセスとより迅速な回答テキストの生成機能を利用できます。

高い需要と利用できる国が制限されていること。詐欺師が悪事を働くのに好都合な状況です。

存在しないデスクトップクライアント

カスペルスキーの専門家は、ChatGPTの人気の高まりを悪用した悪質な攻撃を確認しました。詐欺師は、ソーシャルメディア上でコミュニティを作成しています。このグループは公式のOpenAIアカウントに見せかけた偽のアカウントや、少なくとも熱心なChatGPTユーザーのコミュニティを作ります。さらには、公式が出したと思わせるような投稿をします。例えば、ChatGPTは他のどのサービスよりも迅速に100万ユーザーを獲得しました、というような投稿です。投稿の末尾には、ChatGPTのデスクトップクライアントをダウンロードできると騙ったリンクがあります。

目覚ましい統計情報と「便利な」リンク — 私たちが好きなもの

私たちが好むもの – 納得できる統計情報と「便利な」リンク

また、ChatGPTを利用できるという、あらかじめ作成されたアカウントを利用するための嘘の認証情報も投稿されています。潜在的なユーザーをさらに誘導するために、攻撃者はこれらのアカウントには50米ドルの残高があり、チャットボットを使うことでこの金額を利用することができるとも謳います。このような言葉を聞くと、アカウントを作る手間をかけずにChatGPTを利用できる素晴らしい機会のように思えるかもしれません。しかもデスクトップクライアントをダウンロードするだけでプレミアム機能も無料で利用できるのです。

いらっしゃい、いらっしゃい、今ならデスクトップチャットボックスを利用できます!

いらっしゃい、いらっしゃい、今ならデスクトップチャットボックスを利用できます!

もしこの話に乗ったらどうなるか、結末は容易に想像できるとは思いますが、ご説明しましょう。実にもっともらしいURLをクリックすると、非常に精巧に作られたサイトが開き、Windows用ChatGPTをダウンロードするように促されます。当然ながら、これは公式のサイトではありませんが、公式のサイトのように実にうまく作られています。ダウンロードするボタンをクリックすると、実行可能ファイルのアーカイブが実際にダウンロードされます。

詐欺サイトは公式サイトをそっくり模倣したものです。違いは「Try ChatGPT」(ChatGPTを試す)ボタンの代わりに「Download for Windows」(Windows用をダウンロード)ボタンがあります

詐欺サイトは公式サイトをそっくり模倣したものです。違いは「Try ChatGPT」(ChatGPTを試す)ボタンの代わりに「Download for Windows」(Windows用をダウンロード)ボタンがあります

アーカイブを解凍して実行可能ファイルを実行すると、Windowsのバージョンによってユーザーには何らかの理由によりインストールが失敗したというメッセージが表示されるか、何のメッセージも表示されずに終わります。この時点でプロセスは完了したように見えます。「プレミアム機能が使える事前作成済みアカウントを使えないなんてガッカリ」とユーザーは思うでしょう。そしてこの出来事を忘れてしまいます。おそらくは本物のChatGPTサイトで正規のアカウントを作ることになります。

このメッセージが表示されたら(あるいは何のメッセージも表示されなかったら)、トロイの木馬のインストール成功です

このメッセージが表示されたら(あるいは何のメッセージも表示されなかったら)、トロイの木馬のインストール成功です

実際にはインストールは失敗していません。これまで見られなかったスティーラー型トロイの木馬がユーザーのコンピューターにインストールされ、このツールを使って攻撃者はChrome、Edge、Firefox、Brave、CôcCôc(ベトナムで人気)、その他のブラウザーで保存されたアカウントの認証情報を窃取します。カスペルスキーではこれをTrojan-PSW.Win64.Foboと名づけています。

このトロイの木馬の作成者は、Facebook、TikTok、そしてGoogleのクッキーやアカウント、特に企業アカウントを狙っています。ウイルスを使ってユーザー名とパスワードを盗み出すと、次に上述のサービスで企業アカウントを見つけ出し、そのアカウントによってどれだけの金額が広告に費やされたのか、現在の残高はいくらなのか、といったさらなる情報を得ようとします。

カスペルスキーのデータによると、攻撃者は世界中の国々を標的としており、「ChatGPTデスクトップクライアント」と騙った攻撃はアジア、アフリカ、ヨーロッパそしてアメリカで観測されています。

ChatGPTを安全に使用する方法

ChatGPTには、デスクトップ、モバイル、またはその他の公式のクライアントは存在しません。Webバージョンのみがあります。面白いことに、ChatGPTにこの詐欺攻撃についてブログ記事を書くように依頼すると、チャットボット自体がこの点について非常に明確な説明をしてくれます。

ChatGPT側がこの詐欺攻撃についてどのように理解しているか

ChatGPT側がこの詐欺攻撃についてどのように理解しているか

「事前作成済み」アカウントを使用する必要はもちろんありません。現在のところ、OpenAIが提供する有料サービスは、優先アクセスなどの特典がついた月額サブスクリプションのみで、ChatGPTは無料で提供されています。そのため、本物のChatGPTアカウントには無料で登録でき、実質的に条件はありません。利用している電話番号が利用制限の対象国のものであったとしても、海外の友人に頼んで使い捨てのSIMカードを買ってもらったり、一時的な電話番号を使うことができます。電話番号は、アカウントを有効化するために1度しか使われないからです。テキストメッセージで認証コードを取得するための一時的な電話番号を提供するサービスはたくさんあります。「使い捨て電話番号」とGoogleで検索してみてください。

また重要なのは、確実に公式サイト(https://chat.openai.com)で登録することです。そのためには、リンクをつたってではなく、URLをアドレスバーにご自身で入力するようにしましょう。

そして、優れたセキュリティ保護製品をパソコンにインストールしましょう。ChatGPTの人気は高まるばかりで、攻撃者はこの革命的な新しいチャットボットを悪用するさらに巧妙な攻撃を仕掛けてくると見られています。もちろん警戒することは肝心ですが、どれだけ注意深く詐欺攻撃に備えていても、フィッシングや精巧に作られた偽サイトに引っかかってしまうことはあります。そのため、安全対策を講じる方がよいでしょう。すべてのカスペルスキーのセキュリティ保護製品はTrojan-PSW.Win64.Foboを検知し、ご利用のパソコンを保護します。

ChatGPTデスクトップクライアントは、遅かれ早かれ、いずれは登場するでしょう。公式のものでないとしても、サードパーティー製のものが登場するのは間違いありません。しかし、どのような種類であれサードパーティー製のクライアントを使う場合には常に三重にもわたって注意しましょう。そうすればウイルス対策は難しいことではありません。

 

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?