仮想通貨取引所バイビット(Bybit)のセキュリティオペレーションセンター(SOC)は21日、macOSユーザーを標的とした多段階マルウェアキャンペーンの調査結果を公表した。
攻撃はアンソロピック(Anthropic)のAI開発ツール「Claude Code」を検索するユーザーを対象としており、中央集権型取引所がAIツール探索チャネルを悪用した脅威キャンペーンを特定・公表した初のケースの一つとされる。
2026年3月に初めて確認されたこの攻撃では、SEOポイズニング(検索エンジン最適化の悪用)によって悪意のあるドメインがグーグル検索結果の上位に表示される仕組みが使われた。
「Claude Code」を検索したユーザーは本物のドキュメントに見せかけた偽インストールページへ誘導され、認証情報の窃取・仮想通貨資産の標的化・システムへの持続的アクセスを目的とした攻撃が実行された。
攻撃は2段階構成で、第1段階では情報窃取型マルウェアがブラウザの認証情報、macOSキーチェーン、TelegramセッションやVPNプロファイルを含む幅広いデータを収集。仮想通貨ウォレット情報も対象とされ、250超のブラウザ拡張機能ウォレットと複数のデスクトップウォレットアプリが標的となった。
また偽のmacOSパスワード入力画面を使ってユーザーの認証情報を詐取するソーシャルエンジニアリング手法も確認されており、レジャー・ライブ(Ledger Live)やトレザー・スイート(Trezor Suite)といった正規ウォレットアプリを改ざん版に置き換えようとする試みも判明した。
第2段階ではC++製バックドアが導入され、攻撃者がHTTPポーリング経由でデバイスを遠隔操作できる状態となった。
バイビットのSOCはAI支援ワークフローにより、従来6〜8時間を要していたバックドア解析を40分未満で完了。3月12日に悪意あるインフラを検知し、解析・緩和措置・検知ルール整備をすべて同日中に完了した。バイビットが特定したC2(コマンド&コントロール、攻撃者が感染デバイスに指令を送るためのサーバー)ドメインおよび関連エンドポイントは、公開開示にあたり無害化処理済みとしている。
今回の事案は、AIツールの普及に伴い開発者が検索結果の操作を通じて標的にされる傾向が強まっていることを反映している。開発者はコードベース・インフラ・金融システムへのアクセス権を持つため、攻撃者にとって高価値なターゲットとなりやすい。
