AI彼女がマルウェアに変身する時
要約
AI彼女を装う偽生成サイトやSNS広告がRAT(PureHVNC)を配布してるのが確認されました。不可視文字で拡張子を隠し、.NET AOTローダーと正規プロセス注入で常駐、認証情報やセッショントークンを窃取。対策は拡張子表示+AppLocker/WDAC、EDRの注入検知、DNS・外向き通信の制限、侵害時は全トークン失効と認証再発行。業務端末では隔離環境での利用を徹底。
解説
AI彼女がマルウェアに変身する時
はじめに
生成AIの「彼女(AI waifu)」やAIコンパニオンが一般化する一方で、その関心を逆手に取る攻撃も急増しています。 AIワイフ系の偽サービスや広告を踏み台に、実際にはリモートアクセス型トロイの木馬(RAT)を配布する一連の手口が取り上げられています。 要点は、SNSの広告や検索結果から偽のAI生成サイトに誘導し、「画像/動画を生成しました」と称してユーザーにファイルをダウンロードさせ、実体は実行ファイル(.exe)という偽装を行う点です。背後ではPureHVNCなどのRATや情報窃取型マルウェアが展開され、ブラウザ資格情報やセッショントークン、暗号資産関連データまで狙われます。 最近の分析では、Facebookの偽広告からクローンサイトへ誘導し、拡張子を二重化した長大なファイル名やUnicodeの不可視文字を混ぜて実行形式である事実を隠す例が確認されています。 さらに一部のローダーは.NET Native AOTでコンパイルされており、逆解析やサンドボックス検知を回避して二段階目のペイロードを注入します。 「AIで手軽に作れる」「無料で高機能」といった訴求に釣られると、端末の恒久的な掌握に直結する点が最大のリスクです。
どういう手法なのか?/どう防ぐのか?
■攻撃の全体像(Kill Chain)
1) 誘導: 攻撃者はAI画像・動画生成や「AI彼女」を名乗る偽サイトを作り、Facebookなどで広告出稿。ブランド(例:Kling AI)を騙るページを複数立て、プロモ投稿を量産してトラフィックを集めます。
2) 偽装生成: 利用者が画像をアップロードして「Generate」を押すと、結果ファイルのダウンロードを促されます。拡張子は.jpgや.mp4に見えますが、実際にはZIP内の.exeで、ファイル名にハングルフィラー(U+3164)等の不可視文字を大量に挿入し、拡張子を画面外へ押し出す“長名偽装”を使います。Windows Explorerの**種類(Type)**列を見ればApplicationと表示されますが、アイコンや名前だけでは見抜きにくい仕掛けです。
3) 第1段階(ローダー): 展開されたローダーの多くは.NETで書かれ、Native AOTでCILを含まず機械語化。デバッガ/パケットキャプチャ/モニタ系ツール(Procmon/ProcExp/OllyDbg等)の存在を監視し、仮想環境や解析を回避します。実行時は %APPDATA%\Local 配下へ自身を複製し、Runキーで永続化。続けて InstallUtil.exe や AddInProcess32.exe、CasPol.exe など正規プロセスへコード注入して、第2段階を隠蔽します。
4) 第2段階(RAT): 主に PureHVNC が投入され、隠しデスクトップでのリモート操作、ブラウザ・ウォレットの認証情報窃取、スクリーンキャプチャやファイル操作などを実行。設定にはキャンペーン名(例:「Kling AI 25/03/2025」等)が記録され、C2は 185.149.232[.]197 / 185.149.232[.]221 / 147.135.244[.]43 などが観測されています。
5) 横展開・持続化: ブラウザセッションの乗っ取りでクラウドやSNSへ不正ログイン、追加のステーラーやランサム系の投下も可能。AOTローダーは巨大なダミーデータや偽署名を付けて静的検査を撹乱します。
■関連するバリエーション 同系統の手口として、偽のAI動画生成プラットフォームから Noodlophile Stealer を配る事例(SNSグループや広告で拡散)や、ブラックハットSEOでAI関連キーワード検索結果を毒化し、WordPress等で量産したAIテーマの偽サイトから Vidar / Lumma / Legion などを落とす流れも報告されています。いずれも「AI」をフックに、**“無料・高機能・最新”**の期待を突くソーシャルエンジニアリングが核になっています。
■防御の実務要点(企業・上級者向け)
- ユーザー教育/UX対策: 既知の拡張子を常に表示(GPO)し、ダウンロードフォルダに種類(Type)列を標準表示。**画像・動画のはずが「アプリケーション」**なら即隔離。二重拡張子や不可視文字(U+3164 の
0xE3 0x85 0xA4)を含む長名ファイルを検知・警告するDLP/EDRポリシーを整備。 - アプリ制御: AppLocker / WDAC でユーザ書込みパス(
%AppData%など)からの.exe実行を既定拒否。ブラウザやOfficeからの子プロセス生成・Win32 API呼び出しをASRで制限。 - 振る舞い検知: InstallUtil.exe / AddInProcess32.exe / CasPol.exe へのメモリ書込み・子プロセス生成・外向き通信を監視する Sigma/EDR ルール。Native AOT 疑い(.NETメタデータなし、ReadyToRun痕)を狙う YARA を作成。PureHVNC系のC2プロトコル/HVNC挙動に相関検知。([Fortinet][7])
- ネットワーク: DNSセキュリティやSASEで偽ドメイン群(例:
klingaimedia[.]com,klingaistudio[.]com)をブロック。Egressは原則ホワイトリスト+TLS復号で初回ビーコンを止める。IOCは随時更新。 - IR/ハンティング: ブラウザのセッション窃取前提で、SSO監査ログの地理/User-Agent異常、HVNC特有のUI操作痕(不可視デスクトップによるブラウジング痕)を相関。感染端末は完全初期化+認証情報の総入替え(パスワード・API鍵・リフレッシュトークン・シークレット再発行)を標準手順化。PureHVNC の流通事例や解説も合わせて参照し、狙い撃ち検知を強化。
参考となる追加報道・技術詳細
- Check Point Research による偽Kling AIキャンペーンの詳細(Native AOTローダー、不可視文字、C2、ドメイン例)。(https://research.checkpoint.com/2025/impersonated-kling-ai-site-installs-malware/)
- The Hacker News による同件の要約(PureHVNC RAT配布)。(https://thehackernews.com/2025/05/fake-kling-ai-facebook-ads-deliver-rat.html)
- Noodlophile Stealer を用いた「偽AI動画生成」系の派生。(https://thehackernews.com/2025/05/fake-ai-tools-used-to-spread.html)
おわりに
生成AIをめぐる攻防は、「AIを使って攻撃する」段階を超え、「AIの人気や欲望を攻撃に使う」段階に移りました。 とりわけAIワイフ/AIコンパニオンは、無害で個人的な遊びに見えるがゆえに警戒心が薄れやすく、企業ネットワークにも“個人PC由来”の持ち込みリスクとして波及します。 今回見た手口は、技術的には目新しいエクスプロイトではありませんが、Unicodeによる名前偽装、.NET Native AOT、正規プロセス注入、広告・SEOを組み合わせた運用面の巧妙さが際立ちます。 したがって対策も単発ではなく、ユーザー教育(拡張子表示とダウンロード運用)、実行制御(WDAC/AppLocker)、EDRによるプロセス注入・永続化検知、DNS/プロキシのゼロトラスト的な外向き制御、 そしてセッション再発行を含むIR手順までを一気通貫で用意することが重要です。AIテーマを理由に例外を設けないこと、SNS広告や“無料の生成サイト”は原則隔離環境で試すこと、そして公式アプリ/ストア経由・署名検証の徹底――これらの地味な原則が、派手なAI時代の攻撃に最も効きます。
なお、生成AIの導入が進む開発・広報部門では、“AIで作成した画像や動画を即席サイトで加工する”運用が広がりがちです。 こうした業務は、社内プロキシ配下の検証用VMに限定し、普段使いの端末やブラウザプロファイルと分離してください。万一侵入を許した場合でも、端末だけでなくクラウド側のセッション奪取を前提に、認可トークン失効・パスワード/鍵の総入替え、FIDO2の再登録まで含めた再入場管理をルーチン化すると復旧が早まります。 結局のところ「怪しいファイルを開かない」では守りきれません。検知と封じ込め、復元の“面”を事前に整えておくことが、AI時代のリアルな備えです。 最後に、経営層には“生成AIは便利=安全”という誤解を解き、脅威インテリジェンスとセキュリティ投資の優先度を継続的に再配分する意思決定を求めます。