ESET脅威レポート：ChatGPTの名前の悪用、Lumma Stealerマルウェアの増加、Android SpinOk SDKスパイウェアの蔓延

サイバーセキュリティ企業 ESET が 2023 年下半期の脅威レポートを発表しました。その中で特に興味深い 3 つのトピック、サイバー犯罪者による ChatGPT の名前の悪用、Lumma Stealer マルウェアの増加、Android SpinOk SDK スパイウェアを取り上げています。

ChatGPTの名前がサイバー犯罪者に悪用されている

2023年後半、ESETは、ChatGPTチャットボットを参照していると思われる「chatgpt」または同様の文字列を含む名前を持つ悪意のあるドメインへのアクセス試行を65万件ブロックしました。

不正行為の一つは、ChatGPT用のOpenAI APIに存在します。このAPIは、厳重に保護し、ユーザーに公開されてはならない秘密のAPIキーを必要とします。しかし、一部のアプリは、ChatGPTを使用するためにユーザーにAPIキーの提供を求めています。ESETの研究者は、「アプリが開発者のサーバーにキーを送信する場合、たとえOpenAI APIへの呼び出しも行われたとしても、キーが漏洩または悪用されないという保証はほとんど、あるいは全くない可能性がある」と述べています。

ESETが例として挙げた「ChatGPT Next Web」というウェブアプリケーションは、7,000台のサーバーにインストールされています。このアプリがChatGPT APIキーを狙ったフィッシングキャンペーンの一環として作成されたのか、それとも別の理由でインターネット上に公開されたのかは不明です。

APIキーの使用料はOpenAIによって請求されます。そのため、誰かのプライベートAPIキーを入手した攻撃者は、ユーザーまたは企業のサブスクリプション状況によっては、料金を支払わずに自身の目的に使用したり、他のサイバー犯罪者に転売したりする可能性があります。

さらに、2023年後半には、ChatGPTに触発されたドメイン名が多数出現し、いずれも「JS/Chromex.Agent.BZ」として検出された悪意のあるGoogle Chromeブラウザ拡張機能へと繋がりました。例えば、gptforchrome(.)comは、悪意のある拡張機能へと繋がります（図A）。

図A

悪意のある Chrome 拡張機能が JS/Chromex.Agent.BZ として検出されました。 — 悪意のあるChrome拡張機能がJS/Chromex.Agent.BZとして検出されました。画像: ESET

ChatGPTのセキュリティ脅威に関する推奨事項

ユーザーは、このような脅威を検知し、ChatGPTに関連する疑わしいウェブサイトを閲覧しないように教育を受ける必要があります。ChatGPT APIキーは必ず保管し、決して共有しないでください。

Lumma Stealer マルウェア・アズ・ア・サービスが好調

ESETによると、2023年下半期、暗号通貨マルウェアの脅威状況において、悪意のある暗号通貨マイナーは21%減少した。しかし、同時期に暗号通貨スティーラーは68%以上増加していると研究者らは述べている。

この強力な増強は、単一の脅威、Lumma Stealer（別名LummaC2 Stealer）によって引き起こされました。このMaaS（Malware as a Service）の脅威は、複数の暗号通貨ウォレットに加え、ユーザーの認証情報や二要素認証ブラウザ拡張機能を標的としています。また、情報窃取機能も備えているため、金融詐欺やサイバースパイ活動に利用される可能性のあるツールとなっています。

ESETによると、Lumma Stealerの拡散は2023年上半期から下半期にかけて3倍に増加しました。このマルウェアには複数の価格帯が用意されており、価格は250米ドルから2万ドルまでとなっています。最高価格のオプションでは、購入者はマルウェアのCソースコード全体にアクセスできるようになります。また、購入者は開発者とは独立してマルウェアを再販することもできます。

サイバーセキュリティ企業Sekoiaによると、Lumma Stealerマルウェアは、悪名高いMars、Arkei、Vidar情報窃盗マルウェアと共通のコードベースを共有しており、同じ作者によって開発された可能性が高いとのことだ。

Lumma Stealer の拡散にはさまざまな配布ベクトルが使用されています。ESET は、クラックされたソフトウェアのインストール、YouTube、偽のブラウザ更新キャンペーン、Discord のコンテンツ配信ネットワーク、サードパーティのマルウェアローダー Win/TrojanDownloader.Rugmi によるインストールなど、これらの方法を実際に確認しました。

マルウェアの脅威から身を守るためのヒント

マルウェア感染につながる可能性のある一般的な脆弱性による侵害を回避するため、オペレーティングシステムとそのソフトウェアを常に最新の状態に保ち、パッチを適用することを強くお勧めします。また、組織のITチームによる適切な分析なしに、ユーザーがソフトウェアをダウンロードしてインストールすることを決して許可しないでください。

Android SpinOk SDKはスパイウェアの傑作です

ESET によって SpinOk スパイウェアとして特定されたモバイルマーケティングソフトウェア開発キットは、2023 年下半期に最も多く検出された Android の脅威の 7 位となり、この期間に最も蔓延したスパイウェアの種類となりました。

SpinOk SDKは、開発者にアプリケーショントラフィックの収益化を目的としたゲームプラットフォームを提供しました。複数の開発者が、公式Androidマーケットプレイスで既に公開されているアプリを含む、自社のアプリにこのSDKを組み込んでいました。ESETによると、このアプリケーションは起動するとスパイウェアとして動作し、コマンド＆コントロールサーバーに接続してAndroidデバイスからデータを抽出します。これには、機密性の高いクリップボードの内容も含まれる可能性があります。

この悪意あるコードには、検出を逃れようとする機能が備わっています。デバイスのジャイロスコープと磁力計を使用して、仮想環境か実験環境かを判断します。もしそうであれば、研究者による検出を回避するために動作を変更します。

このSDKは、様々な正規のAndroidアプリに組み込まれています。実際、サイバーセキュリティ企業Doctor Webが2023年5月に報告したところによると、101個のAndroidアプリがこの悪意のあるSDKを使用しており、累計ダウンロード数は4億2,100万回を超えています。Doctor WebはGoogleに連絡を取り、GoogleはこれらのアプリをすべてGoogle Playストアから削除しました。SpinOkの責任者であるDoctor Webは、モジュールをバージョン2.4.2にアップデートし、スパイウェア機能をすべて削除しました。

Roaster Earnという企業は、自社のアプリにSDKを導入するに至った経緯を説明した。同社はSpinOk SDKを開発するOkSpin社から「収益増加プログラム」の提案を受け、これを受け入れたが、Googleからスパイウェアが含まれているとしてアプリ削除の通知を受けたという。この事例は、サイバー犯罪者による悪用がますます増加しているソフトウェアにサードパーティのコードを組み込むことの複雑な問題を改めて浮き彫りにしている。