Bing AI 検索結果が汚染され、悪意のある OpenClaw インストーラーによるスパイ活動

スローミスト（SlowMist）最高情報セキュリティ責任者の23pdsは、3月10日にXプラットフォーム上で警告を発表した。攻撃者はBing AIの検索結果に対して「投毒」攻撃を仕掛け、偽のOpenClawインストーラーを「OpenClaw Windows」のキーワード検索の上位に表示させ、ユーザーを誘導して悪意のあるプログラムをダウンロード・実行させた。

攻撃手法：GitHubの悪意あるリポジトリによるBing AI検索の汚染

（出典：Huntress）

OpenClawは、多くのユーザーを急速に獲得している個人オープンソースのAIアシスタントツールで、元々はClawdbot（2025年11月リリース）という名称だった。GitHub上で数万回のフォークと数十万のスターを獲得し、その知名度が攻撃者の侵入の窓口となった。

攻撃者はGitHubに、正規のインストールツールに偽装した悪意のあるリポジトリを作成。ページにはCloudflareの正規コードを使用して信頼性を高め、さらに「openclaw-installer」という独立したGitHub組織名義で公開し、一般ユーザーアカウントではなく、これにより初期の疑念を回避している。

Huntressは、今回の攻撃の成功要因は、悪意のあるコードをGitHubにホスティングするだけでBing AIの検索結果を汚染できる点にあると指摘。検索エンジンのアルゴリズムを追加操作せずとも、これが可能である。これは2025年12月のChatGPTやGrokの共有チャット機能を悪用した攻撃と類似しているが、ハードルは低く、影響範囲は広い。

悪意のあるツールキット解析：三層のマルウェア構成の脅威

今回の攻撃で使用されたマルウェアコンポーネントは明確に役割分担されている。

Stealth Packer（新型ラッパー）：悪意のあるソフトウェアをメモリに注入し、防火壁ルールを追加、隠されたゴーストスケジューラーを作成し、解読前に仮想環境検知（マウスの動きで実環境か判定）を行う。VirusTotalでの検出率は非常に低い。

GhostSocks（リバースプロキシ型マルウェア）：BlackBastaランサムウェアグループにより使用され、感染したPCをプロキシサーバーに変え、攻撃者が被害者のネットワークIPを使ってアカウントにアクセスできるようにし、多要素認証（MFA）や詐欺防止機能を回避。

情報窃取プログラム（Vidar / PureLogs Stealer）：Rust言語で書かれたローダーがメモリ内で動作し、証明書、APIキー、OpenClaw設定ファイルを盗む。Vidarの亜種はTelegramチャンネルやSteamのユーザーページをC2コマンドの隠し場所として利用。

クロスプラットフォーム感染：WindowsとmacOSの侵入経路の違い

悪意のあるGitHubリポジトリは、両プラットフォーム向けにインストール手順を提供。

Windowsでは、「OpenClaw_x64.exe」を実行後、多数のRustベースの悪意のローダーが展開され、情報窃取プログラムが静かにメモリ内で動作。

macOSでは、インストール手順としてbashのワンライナーコマンドを実行させ、別の悪意ある組織「puppeteerrr」の「dmg」リポジトリから「OpenClawBot」実行ファイルをダウンロードさせる。このファイルはAMOSの亜種と確認され、偽装された管理者権限の要求を通じて、ドキュメント、ダウンロード、デスクトップの敏感情報を窃取。

Huntressは、悪意のリポジトリを発見しGitHubに通報後、約8時間以内に閉鎖されたことを報告。なお、正規版のOpenClawをインストールしていても、その設定ファイルには多くの高感度情報（パスワード、APIキー等）が含まれており、システムに侵入された場合、これらも盗まれるリスクがある。

よくある質問

なぜBing AIの検索結果に悪意のプログラムが推奨されるのか？

攻撃者は、悪意のコードをGitHubにホスティングするだけで、Bing AIの推薦機能により悪意のリポジトリが検索上位に表示されることを発見。AIシステムはGitHubリポジトリの信頼性を十分に評価できず、攻撃者はプラットフォームの信頼性を利用して欺瞞を行っている。

GhostSocksはどのように多要素認証を回避するのか？

GhostSocksは感染したPCをプロキシサーバーに変え、攻撃者は被害者のネットワークIPを使って盗んだ証明書でログイン。地理的・ネットワーク環境が正常な範囲内に収まるため、多要素認証や詐欺検知システムは異常と判断しにくい。

偽造されたOpenClawインストーラーの見分け方は？

正規のOpenClawは公式GitHubリポジトリから直接ダウンロードすべき。macOSの場合、未知の組織のリポジトリからbashのワンライナーコマンドを実行させる手法は非常に危険。GitHubのコードリポジトリを盲信せず、信頼できるプラットフォームからのダウンロードでも、ソフトウェア自体の安全性は保証されない。