4月21日、取引高で世界第2位の暗号資産(仮想通貨)取引所Bybit(バイビット)は、同社のセキュリティオペレーションセンター(SOC)が、Anthropic(アンソロピック)のAI開発ツール「Claude Code」を検索するmacOSユーザーを標的とした多段階型マルウェア攻撃を発見したと発表した。中央集権型取引所(CEX)がAIツールの検索経路を悪用する攻撃を公式に報告した初めてのケースとされる。
2026年3月に初めて確認されたこの攻撃は、SEOポイズニング(検索エンジン最適化の悪用)により、悪意のあるドメインをGoogle(グーグル)検索結果の上位に表示させる手法を用いている。ユーザーは正規のドキュメントに酷似した偽のインストールページに誘導され、認証情報の窃取、暗号資産の標的化、システムへの永続的なアクセスを目的とした2段階の攻撃チェーンが実行される。
第1段階のマルウェアは、ブラウザの認証情報やmacOSキーチェーン、Telegram(テレグラム)のセッション、VPNプロファイル、暗号資産ウォレット情報などを抽出する情報窃取型で、250以上のブラウザベースのウォレット拡張機能や複数のデスクトップウォレットアプリへの不正アクセスが試みられたことが確認された。さらに、Ledger WalletやTrezor Suiteなど正規のウォレットアプリをトロイの木馬化したバージョンに置き換える手口も検出されている。
第2段階ではC++ベースのバックドアが導入され、サンドボックス検知や暗号化された設定、HTTP通信によるリモート制御が可能となる。AIツールの普及に伴い、開発者を狙うこうした攻撃の増加が懸念される。
|文・編集:井上俊彦
|画像:Shutterstock
