ChatGPTの共有リンクがマルウェア配布に悪用――OpenAIドメインを経由し企業ファイアウォールを回避（Push Security報告）

セキュリティ企業Push Securityは5月29日、ChatGPTの会話共有機能を悪用してマルウェアを配布する攻撃手法「LLMShare」を公開した。攻撃はOpenAI自身のドメイン（chatgpt.com）上に偽の障害通知ページを設置する形をとるため、URLレピュテーション検査や企業ファイアウォールのホワイトリストを回避できるとされている。

同社によれば、開示時点でも攻撃による検知が継続して発生しており、2026年6月1日時点でOpenAI・Anthropicの両社からこの問題への公式声明は出ていない。AIツールのドメインを「信頼済み」として扱う企業のセキュリティポリシーは、見直しが必要な段階に来ている。

■ChatGPTの共有機能そのものが攻撃の舞台に

ChatGPTには、会話内容を公開リンク（chatgpt.com/s/[固有ID]形式）で共有する機能がある。この共有ページはHTML・CSSコードをレンダリングする仕様になっており、本来は開発者がウェブレイアウトをプレビューするための機能だ。

Push Securityが「LLMShare」と命名した攻撃キャンペーンは、このレンダリング機能を悪用する。攻撃者はOpenAIのブランドロゴ、整えられたエラーメッセージ、目立つダウンロードボタンを含む「ChatGPT障害通知」に見せかけた偽ページをカスタムHTML・CSSで作成し、通常の共有リンクとして公開した。

このページにアクセスした利用者には、「ユーザー数が多いためウェブ版は一時的に利用できない」旨のメッセージとデスクトップアプリのダウンロードを促す案内が表示される。ページ上部の「コードを表示」トグルを操作すると偽装の全体像が判明するが、開示レポートを執筆したPush SecurityリサーチャーのKeanu Maharaj氏によれば、大半のユーザーはこのトグルを確認しないという。

■Googleの検索広告が被害者をOpenAIドメインへ誘導

被害者をこのページへ誘導するために、攻撃者はGoogleの有料検索広告を購入した。「ChatGPT」「ChatGPT desktop app」「ChatGPT download」などの高ボリュームな検索クエリに対してスポンサー広告を出稿しており、ターゲットはChatGPTを探している・再インストールしようとしている一般ユーザーだ。

広告をクリックすると、遷移先URLは正規のchatgpt.com/s/アドレスになる。AIツールのドメインをホワイトリストに登録している企業のWebフィルタリングやファイアウォールは、このトラフィックを検査なしで通過させてしまう。クリック前にアドレスバーを確認しても、異常は検出できない。

AttackIQのField CISOであるPete Luban氏はCybernewsに対し、「本物のChatGPT共有リンクの中に偽の障害ページがあれば、ランダムなフィッシングサイトよりはるかに信頼できるように見え、疑いが薄れるのは早い」と述べている。

■WindowsとmacOSに対応した情報窃取マルウェアを配布

偽障害ページのダウンロードボタンをクリックすると、openew[.]appというOpenAIの公式デスクトップアプリダウンロードページを模したサイトへリダイレクトされる。このサイトにはOpenAIのブランドロゴ、macOS・Windowsのダウンロードボタン、Chrome拡張機能へのリンク、モバイル向けダウンロードセクションが表示される。

WindowsとmacOSの両方のペイロード（実行ファイル）が確認されている。2026年5月下旬に類似の偽ChatGPTダウンロードキャンペーンを記録したMalwarebytesは、macOS向けペイロードとして「Odyssey Stealer」を同様の攻撃で確認している。これは「Atomic macOS Stealer」として広く知られたマルウェアから派生したもので、ブラウザに保存されたパスワード、暗号資産ウォレットのデータ、アクティブなセッショントークンを窃取し、LedgerやTrezorなどの正規ウォレットアプリをトロイの木馬化したバージョンに置き換えようとするものだ。

Push Securityは、LLMShare固有の実行ファイルに対するペイロードファミリーの名称は開示時点で確定していないとしつつも、以前のキャンペーンと一致する情報窃取型マルウェアが疑われると述べている。悪意ある実行ファイルはVirusTotalにおいて複数のセキュリティエンジンによって検知されているという。

■自動分析ツールを欺くクローキング手法

openew[.]appのダウンロードインフラは、自動的な脅威分析を妨げるための条件付きレンダリング技術を採用している。Push Securityの研究者がこのURLをURLScanに送信したところ、スキャナーはChatGPTとは無関係の一般的なAR/VR企業のウェブサイトにリダイレクトされた。実際のブラウザ上では偽ダウンロードページが表示され、自動分析ツールには無害なページが表示されるという「クローキング」の仕組みだ。

このアプローチは不正広告（マルバタイジング）のエコシステムにおいて確立された手法だ。セキュリティ調査会社のVaronisは2026年2月、3年以上にわたって稼働し、セキュリティスキャナーに対して99%超の遮断率を達成したとされるクローキングツール「1Campaign」を公開している。LLMShareキャンペーンが同等の技術を使用していることは、これが場当たり的な実験ではなく、成熟したプロのサイバー犯罪エコシステムの一部であることを示している。

■2026年、AIプラットフォームの悪用が加速

LLMShareは、2025年末から急増している一連の攻撃の中で最も技術的に洗練されたものとされる。Kasperskyは2025年12月に、ChatGPTの共有会話内に「ClickFix」スタイルの悪意あるターミナルコマンドを埋め込み、有料検索広告で誘導するキャンペーンを記録しており、追跡したドメインで3日以内に1万8,000件超のクリックが発生したとしている。2026年2月には、AnthropicのClaude.ai Artifacts機能（レンダリングされたアプリを共有できる機能）を悪用し、偽のHomebrew（macOS向けパッケージマネージャー）インストールガイドをホストする攻撃が発生し、少なくとも1つの政府機関が被害を受けたことが確認されている。

Push Securityのデータでは、ClickFix攻撃の5件中4件がメールではなく検索結果を経由して被害者に届いており、キャンペーンは地域やユーザータイプを絞り込んで展開されることが多いという。LLMShareの手法はこれに加え、誘導先のURLが攻撃者管理のサイトではなく信頼されたAIプラットフォームのドメインになるという点で、注意深いユーザーが察知できる最後の警告シグナルを取り除いている。

セキュリティ企業Pillar Securityの2026年初頭の分析によれば、2026年最初の10週間におけるAIプラットフォームを悪用したマルバタイジングキャンペーンの件数は、2025年の年間合計をすでに超えたとされる。Push Securityの開示では、LLMShareと類似の手法がClaudeでも確認されており、「MacへのClaude Codeインストールに関するAppleサポートガイド」を装った共有会話が悪意あるターミナルコマンドの実行をユーザーに指示していたという。

■OpenAIもAnthropicも公式声明なし

2026年6月1日時点で、OpenAI・Anthropicのいずれも、LLMShareや関連キャンペーンにおけるコンテンツ共有機能の悪用に関する公式声明を出していない。共有ページにおけるHTMLレンダリングの制限、共有ページのダウンロードボタンがリンクできるドメインの制限、ユーザー生成の共有コンテンツと公式プラットフォームメッセージを区別するための視覚的な警告の追加についても、どちらの企業からも発表はない。

この状況は構造的な問題をはらんでいる。ChatGPTは2026年初頭時点で週間アクティブユーザーが約8億人に達しており、企業のセキュリティポリシーは同サービスを信頼できる生産性ツールとして扱う傾向が強まっている。IBMのX-Force 2026脅威インテリジェンスインデックスによれば、30万件超のChatGPT認証情報がすでにダークウェブ上に流出しているとされ、これはOpenAIのサーバーへの侵入によるものではなく、情報窃取型マルウェアによって感染したユーザー端末から収集されたものだという。LLMShareの攻撃が成功すれば、この認証情報窃取のパイプラインに直接流入することになる。

■セキュリティチームと個人ユーザーが取るべき対策

LLMShareが露わにした構造的問題は、AIツールのドメインを本質的に信頼できるものとして扱う企業のセキュリティ制御がもはや十分ではないという点だ。URLがchatgpt.comで始まるからといって、それだけで信頼できるシグナルとは言えない。/s/パス以下のコンテンツはユーザー生成であり、攻撃者によって制御されている可能性がある。

■セキュリティチームへの推奨事項：

• AIプラットフォームドメインに対して一括信頼を付与しているURLフィルタリングのホワイトリストを見直す


• chatgpt.com/とchatgpt.com/s/[ID]を区別するパスレベルの検査が自社環境で実現可能か評価する


• エンドポイント検知ツールの運用を継続する（配布される実行ファイルは多くのアンチウイルスエンジンで検知される）


• ユーザー向けセキュリティ意識トレーニングを更新し、悪意あるコンテンツが不審なドメインだけでなく著名なAIプラットフォーム上にも出現しうる旨を明示する

■個人ユーザーへの推奨事項：

• ソフトウェアのダウンロードを探す際に、検索広告（スポンサーリンク）をクリックしない


• 検索結果を経由せず、直接chatgpt.comへアクセスする


• ダウンロードを促す「障害」ページは疑いを持って扱う（正規のサービスは障害発生時にダウンロードへ誘導しない）


• デスクトップアプリのダウンロードは公式ベンダーサイトまたは正規のアプリストアからのみ行う

■注目ポイントQ&A

●Q. chatgpt.comのリンクは常に安全ですか？

必ずしも安全とは言えません。ChatGPTのコンテンツ共有機能を使えば、誰でもchatgpt.comドメイン配下にリンクを公開でき、そのコンテンツは完全に投稿者（攻撃者を含む）によって制御されます。Push Securityは2026年5月、脅威アクターが正規のchatgpt.com/s/共有URLに偽の障害ページを設置し、有料Google広告で誘導していることを確認しています。ドメインは本物ですが、コンテンツは本物ではありません。

●Q. 「LLMShare」攻撃とは何ですか？

LLMShareはPush Securityが命名した攻撃手法で、AIチャットボットプラットフォームのコンテンツ共有機能――特にChatGPTのコードレンダリング機能――を悪用し、chatgpt.comなどの信頼されたドメイン上にフィッシングページをホストします。被害者は有料検索広告を通じてそのページへ誘導され、偽ページ上のダウンロードボタンをクリックすると、WindowsとmacOSの両方のデバイスに情報窃取型マルウェアをインストールする偽サイトへ転送されます。

●Q. 偽ChatGPTページからファイルをダウンロードしてしまった場合はどうすればいいですか？

最新の状態に更新されたエンドポイントセキュリティツールですぐにフルスキャンを実行してください。ブラウザに保存されている認証情報が関係する可能性のあるアカウントのパスワードを変更してください。金融系アカウントと暗号資産ウォレットを優先してください。ログイン中のサービスのアクティブなセッショントークンを失効させてください（情報窃取型マルウェアはパスワードと並行してこれらを収集することが多いためです）。感染した端末が業務用のものであれば、攻撃者が組織のネットワークへの足がかりを得ている可能性があるため、すぐにITまたはセキュリティチームに連絡してください。

●Q. 攻撃者はどのようにしてセキュリティスキャナーの検知を回避しているのですか？

LLMShareキャンペーンで使用されるダウンロードサイトはクローキングを採用しています。実際のブラウザ上では偽ChatGPTダウンロードページを表示しつつ、自動化されたセキュリティスキャナーに対しては無害な無関係のウェブサイトへリダイレクトします。この手法により、脅威インテリジェンスサービスがインフラを記録することや、セキュリティチームが事前に検知・ブロックすることが大幅に難しくなります。