Microsoftのセキュリティブログを読んで、正直ゾッとした。
ChatGPTやClaude、DeepSeekの名前を使ったフィッシングやマルバタイジングが2026年に入ってから急増しているらしい。自分はLLMのAPIを仕事でも個人開発でも普通に使っているし、APIキーやクレカ情報を登録したアカウントが死んだら割とシャレにならない。
Microsoftが観測したChatGPTなりすましフィッシングは、件名が「支払い方法を更新しないと7日でフリープランに落とすぞ」という内容だ。1日最大10万通をスイス・オーストリア・南アフリカに撃ってきたというから、スケールが普通じゃない。
リダイレクトの構造がまたよくできている。「Update payment method」を押すと、正規の顧客管理サービス → AmazonのクリックトラッキングURL → Rebrandlyと多段にリダイレクトして、最終的にフォルダ名が「/ChatGPT/」な怪しいドメインに着地する。メールフィルターをすり抜けるための構造だ。
Claude版はさらに巧妙で、「利用規約違反で異議申し立てをしてください」という内容だった。2026年4月20日から22日の3日間で2000以上の組織にメールを撃ち、IT・金融・ビジネス系を中心に狙っている。PDF添付 → PDF内リンク → Cloudflare認証っぽい画面というフローで、自動解析を妨げながら人間を誘導している。「AiTM(中間者攻撃)で認証トークンを盗む構成になっていた可能性が高い」とMicrosoftは言っている。MFAを突破しにくる設計だ。
GitHubユーザーとして一番ヤバいと思ったのはDeepSeekの件だ。DeepSeekがV4のプレビューを発表してから「数時間以内に」偽のGitHub組織とリポジトリを作り、1時間足らずでマルウェア配布の準備を整えたとある。スピードが鬼すぎる。
偽リポジトリにはDeepSeekのロゴ、本物のベンチマークデータ、AI検索向けのllms.txtまで仕込んであって、4日間で91スター・27フォークを集めている。GitHubで「star数多め・ちゃんとREADMEある」を信頼シグナルにしている人は完全に引っかかりうる。
実際に中身を見ると本物のモデルコードは一切なく、README・LICENSE・空のフォルダしかない。9件のコミットが同一作者によって短時間で入っていて、MITとApache 2.0でライセンスの記述が矛盾している。「え、それ気づくだろ」と思うかもしれないが、配布された102MBの7zアーカイブを3日間でハッシュを3回入れ替えているあたり、解析を意識的に妨害していた。
自分も新しいモデルが出るたびに「とりあえずリポジトリ確認してみよう」という動きをするので、このタイミングの攻撃は刺さりすぎる。
この話を読んで、自分が普段どれだけリポジトリをふわっと信頼しているか気づいた。依存ライブラリのスターとREADMEだけで「まあ大丈夫でしょ」と判断してきたのは少し見直したい。
最低限こんな確認を入れることにした。
コードで言うなら、リリースアセットのSHA256を落としてくる前に確認するのを習慣化したい。
こんな1行を手順書に入れるだけでも全然違う。チームの新しいメンバーがOSSを追加するときにこのチェックをしているかどうかを確認するのも自分の仕事だと思っている。
正直フィッシングの話って「自分は引っかからない」と思いがちだけど、DeepSeekのケースはエンジニアを直接狙っている構造だ。使っているツールの名前、GitHubというプラットフォームへの信頼、新機能へのワクワク感、全部が攻撃に使われている。
「AIの名前がクリックさせるための餌になっている」というMicrosoftの表現が今日一番頭に残っている。
ChatGPTやClaude、DeepSeekの名前を使ったフィッシングやマルバタイジングが2026年に入ってから急増しているらしい。自分はLLMのAPIを仕事でも個人開発でも普通に使っているし、APIキーやクレカ情報を登録したアカウントが死んだら割とシャレにならない。
攻撃の構造がよくできすぎて笑えない
Microsoftが観測したChatGPTなりすましフィッシングは、件名が「支払い方法を更新しないと7日でフリープランに落とすぞ」という内容だ。1日最大10万通をスイス・オーストリア・南アフリカに撃ってきたというから、スケールが普通じゃない。
リダイレクトの構造がまたよくできている。「Update payment method」を押すと、正規の顧客管理サービス → AmazonのクリックトラッキングURL → Rebrandlyと多段にリダイレクトして、最終的にフォルダ名が「/ChatGPT/」な怪しいドメインに着地する。メールフィルターをすり抜けるための構造だ。
Claude版はさらに巧妙で、「利用規約違反で異議申し立てをしてください」という内容だった。2026年4月20日から22日の3日間で2000以上の組織にメールを撃ち、IT・金融・ビジネス系を中心に狙っている。PDF添付 → PDF内リンク → Cloudflare認証っぽい画面というフローで、自動解析を妨げながら人間を誘導している。「AiTM(中間者攻撃)で認証トークンを盗む構成になっていた可能性が高い」とMicrosoftは言っている。MFAを突破しにくる設計だ。
DeepSeekの偽GitHubリポジトリが一番刺さった
GitHubユーザーとして一番ヤバいと思ったのはDeepSeekの件だ。DeepSeekがV4のプレビューを発表してから「数時間以内に」偽のGitHub組織とリポジトリを作り、1時間足らずでマルウェア配布の準備を整えたとある。スピードが鬼すぎる。
偽リポジトリにはDeepSeekのロゴ、本物のベンチマークデータ、AI検索向けのllms.txtまで仕込んであって、4日間で91スター・27フォークを集めている。GitHubで「star数多め・ちゃんとREADMEある」を信頼シグナルにしている人は完全に引っかかりうる。
実際に中身を見ると本物のモデルコードは一切なく、README・LICENSE・空のフォルダしかない。9件のコミットが同一作者によって短時間で入っていて、MITとApache 2.0でライセンスの記述が矛盾している。「え、それ気づくだろ」と思うかもしれないが、配布された102MBの7zアーカイブを3日間でハッシュを3回入れ替えているあたり、解析を意識的に妨害していた。
自分も新しいモデルが出るたびに「とりあえずリポジトリ確認してみよう」という動きをするので、このタイミングの攻撃は刺さりすぎる。
明日から自分のリポジトリ確認フローに入れること
この話を読んで、自分が普段どれだけリポジトリをふわっと信頼しているか気づいた。依存ライブラリのスターとREADMEだけで「まあ大丈夫でしょ」と判断してきたのは少し見直したい。
最低限こんな確認を入れることにした。
- コミット履歴の作者と日時の分布を確認する (短時間に1人が連続コミットしてないか)
- リリースアセットのハッシュを公式サイトや別ソースと突き合わせる
- LICENSEとREADMEとリポジトリメタデータのライセンス記述が一致しているか見る
- APIキーやクレカを登録しているアカウントのMFAはpasskey or TOTP必須にする
コードで言うなら、リリースアセットのSHA256を落としてくる前に確認するのを習慣化したい。
# ダウンロード前にリリースページのSHA確認
curl -sL https://example.com/releases/v1.0/sha256sums.txt | grep 'target.tar.gz'
sha256sum target.tar.gzこんな1行を手順書に入れるだけでも全然違う。チームの新しいメンバーがOSSを追加するときにこのチェックをしているかどうかを確認するのも自分の仕事だと思っている。
正直フィッシングの話って「自分は引っかからない」と思いがちだけど、DeepSeekのケースはエンジニアを直接狙っている構造だ。使っているツールの名前、GitHubというプラットフォームへの信頼、新機能へのワクワク感、全部が攻撃に使われている。
「AIの名前がクリックさせるための餌になっている」というMicrosoftの表現が今日一番頭に残っている。