脅威アクターがXのGrok AIを悪用し、有害なリンクを拡散

nosa

2025.09.04

9月4日：サイバーセキュリティ関連ニュース

脅威アクターがXのGrok AIを悪用し、有害なリンクを拡散

BleepingComputer – September 3, 2025

複数の脅威アクターがX（旧Twitter）のビルトインAIアシスタント「Grok」を悪用し、有害広告を削減するために導入されたリンクの投稿制限を回避しているという。

セキュリティ企業Guardio Labsの研究員Nati Tal氏によると、脅威アクターはアダルトコンテンツなどの怪しい動画広告を投稿することが多く、その本体にはXによるブロックを回避するため有害なリンクを含めていない。しかし、動画カードの下にあるメタデータフィールド「From:」はプラットフォーム側が行うスキャンの盲点になっているため、この小さな抜け穴にリンクを隠す方法を使っていると説明された。

さらに、攻撃者（おそらく同一のアクター）は広告への返信として、Grokに「この動画のソースは？」「この動画へのリンクは？」など投稿について質問。するとGrokは「From:」フィールドを解析し、有害なリンク全体をクリック可能な形式で返答するため、ユーザーがここから直接アクセスできるようになる仕組みだ。

GrokはX上で信頼されたシステムアカウントとして自動的に認識されるため、この投稿が有害リンクの信頼性やリーチ、SEO、評判を高めるだけでなく、リンク自体を多くのユーザーに拡散してしまう可能性も高めているとのこと。Tal氏はこの攻撃手法を「Grokking（グロッキング）」と名付け、非常に効果的で、場合によっては数百万のインプレッションを稼ぐこともできると指摘した。

さらにTal氏は、こうしたリンクの多くが怪しい広告ネットワークを経由しており、偽のCAPTCHAテスト、情報窃取型マルウェア、その他の有害ペイロードといった詐欺行為につながっていると報告。考えられる解決策としては、すべてのフィールドをスキャンすること、非表示のリンクをブロックすること、そしてGrokにコンテキストサニタイズを追加することなどが挙げられている。

なお、この問題はTal氏からXに報告され、Grokのエンジニアにも通知されたことが非公式に確認されているようだ。

Androidセキュリティアラート：Google、攻撃を受けたゼロデイ脆弱性2件を含む120件の脆弱性を修正（CVE-2025-38352、CVE-2025-48543他）

The Hacker News – Sep 03, 2025

Googleは2025年9月の月例パッチの一環として、Android OSの脆弱性120件を修正するセキュリティアップデートをリリースした。

今回のアップデートには、標的型攻撃で悪用されたとされる以下2件の脆弱性も含まれている。

CVE-2025-38352（CVSSスコア：7.4）- Linuxカーネルコンポーネントにおける権限昇格の脆弱性
CVE-2025-48543（CVSSスコア：N/A）- Androidランタイムコンポーネントにおける権限昇格の脆弱性

Googleによると、いずれの脆弱性も追加の実行権限を必要とせずローカル権限の昇格につながる恐れがあり、ユーザーの操作なく悪用可能とされている。また、実際の攻撃でどのように武器化されているのかや、これらが連携して使われているかどうかについては明らかにされていないが、「限定的かつ標的を絞った悪用」の兆候が認められているという。

そのほか、フレームワークやシステムコンポーネントに影響を与える複数の脆弱性（リモートコード実行、権限昇格、情報開示、サービス拒否）が修正されており、AndroidパートナーがすべてのAndroidデバイスに共通する一部の脆弱性に素早く対処できるよう、2025-09-01と2025-09-05の2つのセキュリティパッチレベルがリリースされた。