Appleの署名・公証を通過した不正アプリ「FlutterShell」、広告経由で感染を誘導

macOS利用者を狙い、GoogleやYouTube上の悪質な広告から「FlutterShell」と呼ばれる新たなバックドアを配布する活動が確認されました。正規のデスクトップアプリを装って実行を促し、Chromeの設定変更、任意コマンドの実行、ファイル操作、ブラウザセッション情報の窃取などを行う可能性があると報告されています。The Hacker News：FlutterShell Backdoor Spreads to macOS via Malicious Google and YouTube Ads

この記事のポイント

影響のあるシステム

• macOSを使用している端末
• 悪質なGoogle広告やYouTube広告からデスクトップアプリをダウンロードした利用者
• FlutterShellの亜種である「PodcastsLounge」「PDF-Brain」「PDF-Ninja」を実行した可能性がある端末
• Google Chromeを使用している環境
• PDF-BrainまたはPDF-Ninjaで文書要約機能を使用した利用者
• 米国、カナダ、オーストラリア、フランス、ドイツのmacOS利用者が主な広告対象として報告されています

推奨される対策

• 検索広告や動画広告からアプリを入手する場合でも、広告の表示内容だけで正規性を判断せず、開発元の公式サイトを確認してください。
• Apple Developer IDによる署名やAppleの公証済み表示だけを、安全性の根拠としないようにしてください。
• PodcastsLounge、PDF-Brain、PDF-Ninjaなど、報告された名称のアプリが端末に存在しないか確認してください。
• Google Chromeの設定ファイルやプロキシー、通信経路に意図しない変更がないか確認してください。
• 不審なアプリを実行した可能性がある場合は、対象端末をネットワークから隔離し、プロセス、通信先、ファイル変更、ブラウザセッションの状況を調査してください。
• 影響が疑われる場合は、Webサービスからログアウトして既存セッションを無効化し、認証情報の変更を検討してください。

上記の対策は、元記事の事実に基づき日本の読者向けに整理したものです。

広告から正規アプリを装った不正プログラムへ誘導

今回報告された活動は「Operation FlutterBridge」と呼ばれ、GoogleやYouTubeに掲載された悪質な広告を入口として、macOS利用者に不正なデスクトップアプリを導入させるものです。広告は正規のソフトウェアや便利な業務用アプリを案内しているように見せかけ、利用者自身にダウンロードと実行を行わせる手口が使われています。攻撃者側は、Googleによる確認を受けた複数のフロント企業を広告配信に利用していたと報告されています。

広告配信に関係する企業として、AdsParkPro LTD、Advantage Web Marketing LLC、SOFT WE ART LIMITEDが挙げられています。SOFT WE ART LIMITEDは、その後PACIFIC TRADE SOLUTIONS LTDへ名称を変更したとされています。広告の主な対象は、米国、カナダ、オーストラリア、フランス、ドイツのmacOS利用者でした。Google広告の透明性情報では、該当する広告アカウントを現在確認できないものの、企業登録情報から、これらの企業とウクライナの個人との関連が示されていると報告されています。

この攻撃では、広告掲載企業や広告アカウントが一定の審査を通過しているように見えるため、利用者が広告を信頼してしまう可能性があります。企業でmacOSを使用している場合は、広告から入手したアプリの実行を個人の判断だけに任せず、承認済みソフトウェアの一覧や公式配布元を明確にすることが重要です。検索結果の上部に表示される広告であっても、掲載されているアプリの安全性が保証されるわけではありません。

外部サイトから動作を変更できるFlutterShellの仕組み

FlutterShellは、Googleが開発したFlutterフレームワークを使用して構築されており、広告表示機能に加えて、任意のシェルコマンド実行、ファイルシステムの操作、環境変数の外部送信といったバックドア機能を備えていると報告されています。攻撃活動は少なくとも2026年3月まで確認されており、PodcastsLounge、PDF-Brain、PDF-Ninjaという3種類の亜種が特定されています。

技術的な特徴は、アプリ内部のWebViewとJavaScript-to-native bridgeを組み合わせた構造です。通常、WebViewはアプリ内でWebページを表示するために使用されますが、FlutterShellでは、外部Webサイト上に攻撃用のJavaScriptを配置し、その処理からmacOS上のネイティブ機能を呼び出せるようにしていました。この仕組みにより、攻撃者は不正アプリ本体を再コンパイルして再配布しなくても、外部サイト側のコードを変更することで、感染後の動作を更新できる可能性があります。

PDF-BrainとPDF-Ninjaには、人工知能を利用した文書要約機能が搭載されていました。ただし、対象文書は処理前に攻撃者が管理するサーバーへ送信されると報告されています。そのため、利用者が業務資料や機密文書を読み込ませた場合、内容が外部へ渡る可能性があります。このほか、端末環境を識別するための情報収集や、ブラウザのセッション情報を窃取する機能も確認されています。便利なAI機能を装うアプリに対しても、文書の送信先や処理方法を確認する必要があります。

署名・公証済みアプリでも安全とは限らない

確認されたFlutterShellの検体には、有効なApple Developer IDで署名され、Appleの公証も通過していたものが含まれていました。Appleの自動セキュリティ検査では、提出時点でこれらのアプリを不正なものとして検出できなかったと報告されています。これは署名や公証の仕組みが無意味であることを示すものではありませんが、それらを通過したアプリであっても、常に安全とは限らないことを示しています。

FlutterShellを実行すると、Google Chromeの設定ファイルを変更し、ブラウザの通信を攻撃者が管理する広告付きの中継サイトへ強制的に通過させる動作が確認されています。このような変更が行われると、利用者がアクセスするWebサイトとは別の広告やコンテンツが挿入されるほか、通信や閲覧状況に関する情報を取得される可能性があります。Chromeの動作が突然変化した場合や、意図しない広告、リダイレクト、プロキシー設定が確認された場合は、単なるブラウザ不具合として処理せず、端末全体を調査する必要があります。

企業のIT担当者は、PodcastsLounge、PDF-Brain、PDF-Ninjaなどの名称だけでなく、未承認アプリのインストール履歴、Chromeの設定変更、未知の外部サイトへの通信、シェルコマンドの実行履歴などを確認することが重要です。不審なアプリを実行した端末では、アプリの削除だけで対応を終えず、ブラウザセッションの無効化や認証情報の変更、端末内のファイル操作状況まで調査することが望まれます。今回の事例は、アプリの見た目、広告掲載元、電子署名のいずれか一つだけで安全性を判断することの危険性を示しています。

参考文献・記事一覧

• The Hacker News

投稿者プロフィール

CyberCrew（サイバークルー）

CyberCrew（サイバークルー）は、企業の情報セキュリティをトータルで支援する専門チームです。高度なスキルを持つホワイトハッカーが在籍し、サイバー攻撃の監視・検知から初動対応、リスク診断や従業員向けのセキュリティ教育まで、幅広いサービスを提供。企業のニーズに応じた柔軟な対応で、安心・安全なIT環境の実現をサポートします。

■ 情報セキュリティサービス台帳登録事業者

■ セキュリティコンテスト受賞歴
CTF国際大会 世界No.1
CEH Master Leaderboard 世界No.1
Hack The Box Rank TOP10

■ 保有セキュリティ資格
GIAC GXPN、Cisco Cybersecurity Specialist、CEH Master、CEH Practical、
Cyber Security Professional Certificate、OSCP、OSCP+、CPENT、OSWP、
eCPPT、eMAPT、CRTS、SOC-100、PEN-100、
HTB Offshore Penetration Tester（Level 3）

最新の投稿

• 2026.06.23Appleの署名・公証を通過した不正アプリ「FlutterShell」、広告経由で感染を誘導
• 2026.06.22MuddyWaterが9カ国を標的にした諜報活動、DLLサイドローディングを悪用
• 2026.06.21悪性npmパッケージがGitHubとCI/CDへ拡散、IronWormとMiasmaを解説
• 2026.06.20AnthropicがClaude Fable 5を公開、強力なサイバー能力に安全対策を導入