MENU

AIを心理誘導する新種マルウェア:macOS.Gaslight

ほぼこもセキュリティニュース

macOS.Gaslightは、Rust言語で書かれたmacOS向けのバックドアであり、また、インフォスティーラー型マルウェアです。
Telegram Bot APIをC2(コマンド&コントロール)チャネルとして利用し、暗号化(AES-GCM)や証明書ピンニングなどの高度な通信保護を実装しています。
また、ブラウザデータやキーチェーン(login.keychain-db)の窃取、インタラクティブなシェル機能、Pythonを用いたデータ収集モジュールを備えています。
従来の類似の事例との異なる点を意識しながら特徴を見てみましょう。

  1. サンドボックスではなく「AI分析エージェント」を狙うプロンプトインジェクション
    • 従来の類似事例(WindowsでのPoC、Hades、Shai-Huludなど):
      従来のAI標的型の攻撃は、単一の不正な指示文(ヘッダーやマジックストリング)を埋め込むことで、Claude CodeなどのAIによる解析を停止・回避させようとするシンプルな手法でした。
      また、従来の一般的なマルウェアはAIではなく「サンドボックス(仮想実行環境)」の検知を回避することに注力していました。
    • macOS.Gaslightの違い:
      このマルウェアには、3.5 KBにおよぶMarkdownで囲まれた不正データ(38個の偽の「システム」メッセージ)が埋め込まれています。
      これらはAI解析ツール側のプロンプト構造({{DATA}}トークンなど)を模倣しており、AIに対し「トークンの期限切れ」「メモリ不足による強制終了」「ディスク容量不足」「静的解析フラグの検出」といった偽のエラーや警告を認識させます。
      これにより、AI分析エージェント自身に「セッションが異常終了した」と誤認させ、解析の中断や拒否へと誘導する(ガスライティングを行う)仕組みになっています。
  2. Telegram Botトークンの「実行時自動消去(セルフ・リダクション)」
    • 従来の類似事例:
      NVISO Labsなどの報告によると、TelegramをC2に悪用する従来のマルウェアの多くは、バイナリ内や実行時のログから「Botトークン」が回収可能でした。
      防御側はこのトークンを悪用してBotのチャット履歴や攻撃者のコマンドを特定し、対抗策を講じることができました。
    • macOS.Gaslightの違い:
      通信URLを生成する関数内に自動消去ルーチン(セルフ・リダクション)が組み込まれています。
      URLのパスが特定の処理(「file」リクエストなど)に移る際、Botトークンをハードコードされたダミー文字列(file/token:redacted)に置き換えます。
      これにより、プロセスログやクラッシュ時のアーティファクトを回収されても生きたBotトークンが外部に漏れないよう徹底されており、アナリストによる検知と追跡を困難にしています。
  3. 実行時に独立したPython環境(Cpython)をダウンロードする手法
    • 従来の類似事例:
      macOS向けのスティーラー(AMOSなど)でもキーチェーンの窃取などは定番の手法であり、Pythonを同梱する場合は「PyInstaller」や「Nuitka」といったツールでバイナリ化して配布するのが一般的でした。
    • macOS.Gaslightの違い:
      メインのバイナリ(Rust製)を軽量に保つため、実行時に外部(astral-sh/python-build-standaloneプロジェクト)から独立したCPython(バージョン3.10.18)環境を直接ダウンロード・展開し、その上でPython製のデータ窃取スクリプトを走らせるという、これまで確認されていなかった斬新なサプライチェーン手法を採用しています。

「macOS.Gaslight」は、キーチェーンの窃取や永続化といったmacOSマルウェアとしての伝統的な技術(手口)を踏襲しつつも、リバースエンジニアリングや一次解析の自動化に「LLM(生成AI)」が日常的に使われるようになった現代の防御体制を逆手に取った最先端のマルウェアです。
攻撃の矛先が「システムの脆弱性」から「防御側のAIツールの認知の隙」へとシフトしている明確な証拠であり、今後のAIアシスト型セキュリティツールは「解析対象のサンプルに含まれるコンテンツを信頼できる指示として扱わない」設計が不可欠であると記事は警告しています。

本マルウェアに命名された「Gaslight(ガスライティング)」とは、元々は 相手にわざと誤った情報を与え、自身の記憶や正気、判断力に疑いを持たせ、精神的に追い詰めて支配する「極めて悪質な心理的虐待(マインドコントロール)」 を指す言葉です。
攻撃者は今回、この陰湿な手法を人間のアナリストではなく、分析を支援する「AI(LLM)」へと向けました。AIに対して38個もの巧妙な偽のエラーを浴びせ、「このセッションは異常終了した」「これ以上解析できない」と“思い込ませる”アプローチは、まさにAIに対するガスライティングそのものです。
防御側がAIによる自動化を進めるなか、攻撃側はそのAIの「認知の隙」を突き、判断力を奪おうとしています。私たちがAIの利便性に依存すればするほど、こうした「AIの認識を歪める悪質な心理誘導」の脅威は増していくでしょう。これからのセキュリティは、システムや脆弱性を守るだけでなく、「AIの正気」をいかに保つかという新たな戦いのフェーズに入ったと言えます。
マルウェアが仕掛ける「精神的支配」の恐怖、です。

macOS.Gaslight | Rust Backdoor Turns Prompt Injection on the Analyst, Not the Sandbox
https://www.sentinelone.com/labs/macos-gaslight-rust-backdoor-turns-prompt-injection-on-the-analyst-not-the-sandbox/

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。