チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「AIチャットボットが攻撃者のサイトをおすすめしてくるって、本当にあるんでしゅか?」
「正規のツール名で検索しても、マルウェアに当たることがあるんでしゅか?」
チップスボス、GPUマイニングのマルウェアがAIチャットボット経由で広がってるって…AIに聞いて出てきたリンクって、もう信じていいかわからないでしゅか?
ボスそうだな。SEOポイズニングとAI推奨の汚染を組み合わせる新手口で、検索エンジンとAIチャットボットの双方で攻撃者のリンクが上位表示される。CrystalDiskInfoやFurMarkなど、よく検索されるユーティリティソフトの名前が悪用されている。
2026年5月27日、Microsoft Securityはユーティリティソフトの名前を悪用したSEO・AIチャットボット汚染による「SimpleRunPE」マルウェア拡散キャンペーンを公表しました。
本記事では、配布手口、感染の流れ、そして組織が取るべき対策を整理していきます。
本キャンペーンの新規性は、AIが「検索の代理人」になりつつある世界に攻撃者がいち早く適応した点にあります。
事件の概要、攻撃チェーンと使われるツール、そして組織が取るべき対策の順に深掘りしていきます。
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
Microsoftは攻撃者がgleeze[.]comのサブドメインから悪意あるZIPアーカイブを配布していると報告しています。
攻撃者は人気のある無料ユーティリティを偽装し、正規実行ファイルと悪意あるDLLを抱き合わせて配布します。
主な要素を以下の表に整理しました。
| 段階 | 内容 |
|---|---|
| 偽装対象 | CrystalDiskInfo、HWMonitor、FurMark、K-Lite、PDFgearなど |
| 初期実行 | 正規exe+悪意あるDLLでScreenConnectを展開 |
| 永続化 | InstallUtil.exe等のMS署名済みバイナリにプロセスホロー |
| 収益化 | gminer、lolMiner、SRBMiner-MULTIによるGPUマイニング |
チップスMicrosoft署名のバイナリにプロセスホローして、Defenderの除外まで登録するって、もう何を信じていいか分からないでしゅ…!
ボス確かにアンチウイルス単体の検知は厳しい。だがEDRの挙動監視と、組織内ソフトウェアの調達経路を絞る運用の併用で、十分に守れる。技術と運用の両面で構える必要があるな。
このキャンペーンは「検索する側の信頼」を逆手にとる手法に特化しています。
マルウェアは仮想マシン・分析ツール40種を検知して回避し、企業環境への定着を狙います。
典型的な被害は以下の通りです。
チップス業務PCがマイニングに使われるって、電気代も含めて損失が大きいでしゅ…。
ボス金銭的損失だけでなく、攻撃者がリモート接続経路を確保している事実が一番の問題だ。発見次第、初期化と認証情報のローテーションを並行で進めるべきだ。
BleepingComputerの報道とMicrosoftの公式情報を踏まえ、対応の優先度は以下の通りです。
AIチャットボットが業務の検索代行を担う今、攻撃者はその経路の汚染に乗り出しています。
従業員一人ひとりがダウンロード元を確認する文化と、組織側の調達ガバナンスを両輪で回すことが、現代の必須対策です。
ボスAIが薦めたから安全、検索上位だから安全、という思考停止こそが最大の脆弱性だ。情報源の確認を含めたリテラシー教育を、定期的に行う体制を作るべきだ。
チップス明日から、ダウンロードする前に必ず公式URLを確認するでしゅ!AIが薦めても、もう一度確認するでしゅ!
オススメ案件
【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス
【OCI・DNS・PostgreSQL環境におけるセキュリティ管理・保全対応】錦糸町(常駐)/セキュリティインシデント対応・ログ分析
【次世代型アンチウイルス製品の選定・実装設計リード】与野(リモート併用・週3出社)/NGAV・EDR・製品選定
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
