【geek-terminalニュース】ChatGPTやClaudeの「公式共有リンク」を悪用したマルウェア感染攻撃『LLMShare』の脅威が浮上

【事象の全貌と背景】

2026年5月末、AIコミュニティやサイバーセキュリティ界隈を震撼させる極めて狡猾な攻撃手法の存在が浮上し、ギークたちの間で大きな議論を巻き起こしています。複数の海外セキュリティメディアやPush Securityなどのセキュリティ研究機関が発信したとされる情報によると、サイバー攻撃者たちがChatGPTやClaudeの公式「チャット共有リンク」機能を悪用し、マルウェアを拡散させるキャンペーン「LLMShare」を展開しているという疑惑が持ち上がっているのです。

ChatGPTやClaudeといった商用LLM（大規模言語モデル）は、今や技術者のみならず一般ユーザーにとっても日常的な開発・業務インフラとなっています。これらのプラットフォームには、自分が交わした有益なチャットログやプロンプトを他者と共有するための「共有リンク（Share Link）」機能が標準で備わっていますが、今回の攻撃はこの「機能への絶対的な信頼」を逆手に取ったものであると指摘されています。

従来のフィッシングやマルウェア配布では、攻撃者は不審な独自ドメインや偽装ドメインを自ら用意して被害者を誘導する必要がありました。しかし今回の「LLMShare」とされる手法では、被害者が踏むリンクのドメインそのものが「chatgpt.com」や「claude.ai」といった100%本物の、信頼された公式サイトのものになります。このため、社内プロキシやURLフィルタリング、アンチウイルスソフトなどのセキュリティゲートウェイが脅威を完全にスルーしてしまうという、極めて深刻な心理的・構造的なセキュリティホールが顕在化していると囁かれています。

【技術的ディープダイブ】

この疑惑のキャンペーンで用いられているとされる技術的アプローチは、LLMのレンダリングエンジンと人間の認知バイアスを極限までハックしたものです。報告されているメカニズムの詳細は以下のようなものとされています。

まず、攻撃者はGoogleなどの検索エンジン上で「ChatGPT デスクトップアプリ」といったキーワードを狙った有料検索広告（Paid Search Ads）を出稿します。ユーザーがこの広告をクリックすると、リダイレクトを経て、ChatGPTやClaudeの「公式の共有チャットリンク（例：https://chatgpt.com/share/…）」へと誘導されます。

この共有ページにアクセスすると、画面にはチャットログではなく、本物そっくりの「OpenAIシステムダウン通知（Fake Outage Page）」や「システムエラー画面」が表示されます。攻撃者は、LLMに対するプロンプトインジェクションや、チャット出力におけるMarkdownや特定のレンダリング制御を突くことで、プラットフォーム標準のUIを覆い隠すような偽の案内画面を生成しているのではないかと推測されています。

この偽の障害画面には、「現在、Web版のChatGPTは深刻なシステムダウンに見舞われています。お手数ですが、サービスを継続して利用するために、一時的に以下の公式デスクトップアプリケーションをダウンロードしてご利用ください」といった緊迫感のあるメッセージが掲載されています。ユーザーは、ブラウザのアドレスバーに表示されているドメインが紛れもなく公式の「chatgpt.com」であるため、なんの疑念も持たずにそこに配置されたダウンロードリンクをクリックしてしまうのです。

実際にダウンロードされるファイルは、ChatGPTの公式クライアントに見せかけたインフォスティーラー（資格情報窃取型マルウェア）やリモートアクセスツール（RAT）などの悪意あるペイロードであり、これにより端末が完全に掌握される危険性があるとされています。セキュリティツールがURLレベルで「信頼できるドメイン」と判定しているため、ダウンロード時のブラウザ警告などもかいくぐりやすいという点が、この手法の技術的驚異度を跳ね上げています。

【コミュニティの生々しい熱量と議論】

この衝撃的な報告に対し、Redditのr/netsecやr/ChatGPT、さらにはLocalLLaMAなどのギークコミュニティでは、悲鳴と技術的な考察が入り乱れる大論争へと発展しています。

「これはゼロデイ脆弱性というより、ドメイン信頼モデルの完全な敗北だ」と絶望する声が数多く寄せられています。あるセキュリティエンジニアは、「会社で『ドメインが公式のものなら安全』とユーザーに教育してきたが、このハックはその大前提を完全に破壊した。もう何を信じていいか分からない」とポストし、教育方針の根本的な見直しが必要であると訴えています。

また、ギークたちの関心は「どのようにして共有リンク上でシステムエラー画面をこれほど高精度に偽装したのか」という実装ハックの側面に集まっています。コミュニティの検証班の推測によると、LLMのMarkdown出力機能を利用してCSS風のレイアウトを構築し、システムが自動生成したかのようなエラーコンポーネントをプロンプトエンジニアリングのみで再現しているのではないかとの仮説が立てられています。「プロンプトだけで、信頼された公式ドメイン上で動作する完璧なランディングページが作れてしまう。ノーコード・マルウェア配信プラットフォームとしてのAIの誕生だ」と、ブラックユーモアを交えて評価する変態的な技術者も現れています。

一方で、「有料検索広告の審査をすり抜けるアドグラフト攻撃と、LLMの共有機能の悪用を組み合わせた素晴らしい（そして最悪な）ソーシャルエンジニアリングだ。攻撃者の創意工夫には脱帽するしかない」といった、攻撃手法の『洗練さ』に対する皮肉混じりの称賛すら上がっており、AIの日常化がもたらした新世代のハッキングにギークたちは恐怖と同時に奇妙な興奮を覚えているようです。

【今後の展望とエコシステムへの影響】

この「LLMShare」攻撃キャンペーンの報告が事実であれば、今後のAIサービスとインターネット全体のトラストモデルに、極めて甚大なパラダイムシフトをもたらすことは避けられません。

短期的には、OpenAIやAnthropicといったLLMベンダーは、共有リンク（Share Link）機能の大幅な仕様制限を余儀なくされる可能性が指摘されています。具体的には、共有ページ内における外部URLへのハイパーリンクの完全無効化、Markdownによるリッチな装飾や特定のUI風レイアウトレンダリングの禁止、さらには、共有リンクの作成・閲覧に二要素認証（2FA）やログインを必須にするなどの対策が考えられます。しかし、これは「手軽にAIの成果物を共有し、知見をオープンに循環させる」というこれまでのWebの利便性を大きく損なうトレードオフとなります。

長期的には、企業ネットワークにおけるAIサービスの利用ポリシーが大幅に厳格化されるでしょう。これまではシャドーITとして黙認されていたChatGPTやClaudeの利用ですが、「公式ドメインを踏んだだけでマルウェアに感染しかねない」という今回の脅威シナリオは、企業のシスアド（システム管理者）にとって悪夢そのものです。結果として、商用クラウドLLMへのアクセス自体を全面的に遮断し、VPC（仮想プライベートクラウド）内で構築されたプライベートLLMやローカルLLMへの移行を強制する「Local-First AI」へのパラダイムシフトがさらに加速するのではないかという予測も立てられています。

「AIがインフラ化したからこそ、AIそのものが最も強力な社会工学的ベクターになる」というこの冷酷な現実は、インターネットの安全神話をまた一歩、終わりの始まりへと推し進めることになるかもしれません。