新たな脅威「PipeMagic」が発見される

最近、サイバーセキュリティの世界で注目を集めている新たな脅威があります。それが「PipeMagic」と呼ばれるバックドアです。この悪意あるソフトウェアは、偽のChatGPTデスクトップアプリを通じて配布されており、その巧妙な手法に多くのセキュリティ専門家が警鐘を鳴らしています。

Microsoftの脅威インテリジェンスチームが2025年8月に公表したレポートによると、この攻撃は金銭目的のサイバー犯罪グループ「Storm-2460」によるものとされています。特に注目すべきは、この攻撃がゼロデイ脆弱性と組み合わせて利用されている点です。

私たちが普段使用している様々なソフトウェアの中で、ChatGPTのようなAIツールは特に人気が高まっています。しかし、その人気を悪用した攻撃手法が確認されたことは、現代のサイバーセキュリティ環境の複雑さを物語っています。

偽アプリがもたらす深刻な被害

では、この「PipeMagic」はどのような手順で被害者のシステムに侵入するのでしょうか。攻撃者は実に巧妙な方法を使用しています。

まず、攻撃者はGitHubで公開されている正規のChatGPTデスクトップアプリのプロジェクトを改ざんします。正規版は完全に安全なのですが、問題は非公式サイトから配布される改ざん版です。

ユーザーが知らずにこの偽アプリをダウンロード・実行すると、以下のような流れで攻撃が展開されます：

この一連の流れは、ユーザーには見えない場所で静かに進行するため、感染に気づくのが困難です。特に、Windows CLFSの特権昇格バグ（CVE-2025-29824）というゼロデイ脆弱性を組み合わせることで、システムの深部まで侵入することが可能になっています。

PipeMagicが他のマルウェアと大きく異なる点は、そのモジュール式アーキテクチャにあります。従来のマルウェアが単一の機能を持つのに対し、PipeMagicは必要に応じて機能を追加・変更できる柔軟性を持っています。

さらに興味深いのは、Networkリストを通じたC2通信の仕組みです。WebSocketに似た通信方式を確立することで、セキュリティ製品による検知を巧妙に回避しています。システム情報の収集から、新しいモジュールの追加、更新、削除まで、遠隔地からの完全なコントロールが可能です。

この分離設計により、攻撃者は状況に応じて戦術を変更でき、セキュリティ対策を困難にしています。暗号化された通信と動的なモジュール管理の組み合わせは、まさに次世代の脅威と言えるでしょう。

では、このような高度な脅威に対して、私たちはどのような対策を講じるべきでしょうか。Microsoftは包括的な防御策を推奨しており、これらを適切に実装することで被害を大幅に減らすことができます。

最も重要なのは、Microsoft Defender for Endpointの改ざん防止機能を有効化することです。これにより、マルウェアがセキュリティ設定を変更することを防げます。また、ネットワーク保護機能を有効にすることで、不審な通信を自動的に遮断することが可能です。

EDRブロックモードの活用も欠かせません。これは他のセキュリティ製品で検出されない脅威も阻止する機能で、PipeMagicのような高度なマルウェアに対して特に効果的です。

忘れてはならないのが、Windows更新プログラムの適用です。特にCVE-2025-29824のようなゼロデイ脆弱性に対するパッチが提供された場合、迅速な適用が被害防止の鍵となります。

加えて、ソフトウェアのダウンロード元にも注意が必要です。ChatGPTデスクトップアプリのような人気ソフトウェアを入手する際は、必ず公式サイトや信頼できるリポジトリを使用し、非公式サイトからのダウンロードは避けるべきです。

今回解説した多層的な防御戦略を組み合わせることで、新しい脅威に対しても高い防御力を維持できます。セキュリティは一つの対策で完結するものではなく、複数の仕組みが連携して初めて効果を発揮するものなのです。