マルウェア
AIサービス「claude.ai」のチャット共有画面から不正なコマンドを実行させるClickFix型攻撃キャンペーンを分析
AI開発ツールに興味のある人々を「claude.ai」のチャット共有画面や「GitLab Pages」の偽サイトに誘導し、不正なコマンドを実行させる「マルバタイジング&ClickFix攻撃」を分析しました。
- 106個の不正なホスト名を伴うClickFix型攻撃キャンペーンの実態が、TrendAI™ Researchの調査によって判明しました。背後にいる攻撃者は、著名なAIブランドやMacソフトウェアを騙って不正なGoogle広告を配信し、被害者を巧妙に誘導していました。また、高頻度でインフラを切り替え、さまざまな偽装ブランド名を試すことにより、攻撃の効果を高めてきました。
- 本攻撃は、claude.aiの「チャット共有機能」を悪用する手口を採用したことで、戦略的に大きく進化しました。被害者の行き先は、完全に信頼された正規ドメインとなります。そのため、ブラウザ警告やURL検査、セーフブラウジングの仕組みを用いても、被害の防止は困難です。
- 被害範囲はアジア太平洋地域(APAC)に集中しており、全体の67.2%を占めています。また、台湾だけで全体の30.5%に達しています。こうした偏りは偶然の産物ではなく、Google広告の機能を通した「意図的な地域選定」の結果と見られます。
- TrendAI™ Researchからの報告を受けたAnthropic社は即座に調査を開始し、不正なアカウントを停止するとともに、問題の共有チャットIDを無効化しました。さらに同社は、チャット共有機能の悪用防止に向けた対策を進めています。
はじめに
著名なAI開発ツールに扮し、「ClickFix」と呼ばれる騙しの手口を悪用した攻撃が執拗に展開されています。TrendAI™ Researchの分析に基づくと、本攻撃はGoogleの検索広告を悪用し、「ChatGPT Codex」や「Perplexity」、「Cursor IDE」、「JetBrains」、「Claude AI(claude.ai)」などのAI/開発ブランド名、またはMac用ユーティリティを騙ることで、被害者を偽サイトに誘導します。
背後にいる攻撃者は、AI開発ツールに興味のある人々を狙った有料広告を配信していました。これにより、普段からコマンド実行に慣れていて、そこに拒否感を抱きにくい標的をピンポイントで狙い撃ちにしたのです。そして、「トラブルの解決」や「インストールの完了作業」といった名目で、PowerShellなどのコマンドを被害者自身の手でコピー・ペーストさせ、不正な処理を起動させました。このように被害者自身の操作によって攻撃のステップを踏ませる手口は「ClickFix」の名で知られていますが、本事例では、標的選定の点で一層巧妙化しています。
インフラ面の特徴として、初期段階では、「GitLab Pages」のサービスを通して92個の不正なホストが運用されていました。この「GitLab Pages」は、信頼性の高いドメイン「*.gitlab.io」の下に無料で静的サイトを設置できる点で特徴的です。そこに不正なサイトを設置され、AIブランドなどに扮した名前が設定されていれば、たとえセキュリティ意識の高いユーザでも「gitlab.ioだから大丈夫だろう」と思い込み、騙されてしまう可能性があります。今回の攻撃者は、正規のソフトウェア・ダウンロードサイトに酷似したサブドメインを数十個も確保し、それらを次々と高速に切り替えることで、検知やブロックの回避を図ってきました。
活動の後半では攻撃手法が著しく変化し、ClickFix詐欺の指示文が、AIサービス「claude.ai」の「チャット共有画面」に提示されるようになりました。TrendAI™ Researchからの通報を受けたAnthropic社はすぐに調査を開始し、該当アカウントを停止(BAN)するとともに、問題の共有チャットIDを無効化しました。さらに、チャット共有の悪用防止に向けた対策が進行中です。
本稿では、2026年4月8日から6月14日の間に見られた活動の技術詳細や変遷を解説します。今後もTrendAI™ Researchでは、さらなる活動に備え、監視と分析を継続していきます。
本活動で発生した通信を分析したところ、全体の82.8%が、AI開発ツールの検索者を狙ったものでした。偽装先ブランドとしてさまざまなAIサービス名が順繰りに悪用されていった経緯を踏まえると、攻撃者はAIツールのエコシステム全体で「キーワード・テスト」を行っており、どのブランドを名乗れば最も効率的にユーザを誘い込めるのか、探っていたものと見られます。
偽装先として利用された名前の具体例を、下記に示します。
- Claude AI(Anthropic社):主要な偽装先であり、「Claude Code」や「Claude Desktop」、「Claude Desktop LM」のように、実際に提供されているプロダクト名が使い分けられていました。攻撃者が製品ラインナップを詳しく把握していたことがうかがえます。
- ChatGPT Codex(OpenAI社):攻撃の「第3波」から投入され、「第4波」でさらに拡大しました。OpenAI社のコード生成ツールに対する関心の高まりに便乗したものとみられます。
- Perplexity AI:AI検索エンジンの利用者を狙ったものです。偽装用のホスト名はただ一つ(
perplexity-platform.gitlab[.]io)ですが、長期にわたって利用されました。 - Cursor IDE:AIネイティブ・コードエディタの利用者を狙ったものです。攻撃者が開発ツールの流行状況を把握していたことがうかがえます。
- JetBrains:実績のある統合開発環境(IDE)の利用者を狙ったものです。これによって攻撃対象は、AIツールのみならず、汎用開発ツールの利用者にまで広がりました。
AIツールを騙った攻撃と並行する形で、古典的なマルバタイジングの手法にのっとり、Mac用ユーティリティに扮した偽サイトも確認されています。こうしたサイトのサブドメイン名として、「mac-clean-storage」や「fixmymac」、「mac-support」などがあり、ディスクのクリーンアップやシステムのメンテナンスツールを探しているユーザを狙ったものです。これら2種の偽装テーマが同じ攻撃キャンペーンIDから同時検出された点より、単一の実行グループが、被害者層を増やすために「餌」のラインナップを多様化させているものと見られます。
TrendAI™ Researchの監視データに基づくと、一連の攻撃活動が始まったのは2026年4月8日のことであり、以降、週単位で繰り返されてきました。そして毎回、不正なページが新規に公開され、キーワードや標的地域に調整が加えられています。
第1波:初期の活動(4月8日〜13日)
検知された通信:753件、不正なホスト名:18個
この時期は、主な偽装ドメインとして「claude-code-app.gitlab[.]io」が用いられ(通信数:486件)、それを補う形で「claudeapp.gitlab[.]io」も投入されました。同時に、Macのユーティリティソフトに扮したドメイン「mac-clean-storage.gitlab[.]io」、「mac-guide-tool.gitlab[.]io」も運用されており、2種の活動区分が同時進行していたことが分かります。
被害通信の大半は、単一のGoogle広告キャンペーンID(23736589328)から誘導されたものです。被害地域については、台湾(通信数:194件)、マレーシア(36件)、日本(34件)が多く見られました。第1波の期間中、日別での通信件数が最も多かったのは4月10日であり、192件に及びました。
第2波:偽装先の多角化(4月14日〜21日)
検知された通信:246件、不正なホスト名:23個
第2波では、ドメイン「gitlab.io」の配下に、Claudeに扮した新たなサブドメイン(claude-tool-app、claud-desktop-app、claudesktop、claude-desktop-apps)が出現しました。同時に、Macのユーティリティソフトを装う新たな餌(macsupp-group、macsupp-usb、jetbrains-apps-groupなど)が撒かれました。さらに、開発ツール「JetBrains」を装った偽サイトも展開されており、ソフトウェア開発者を意図的に狙う姿勢が垣間見られます。
第3波:インフラの最大化(4月22日〜28日)
検知された通信:652件、不正なホスト名:28個
この期間には、新たな偽装サブドメイン「perplexity-platform.gitlab[.]io(通信数:33件)」や「chatgpt-codex.gitlab[.]io(12件)」が投入され、偽ブランドのテーマがClaude以外のAIプラットフォームにも拡大しました。一方、同時期には「claude-desktop-lm.gitlab[.]io(203件)」、「cladesktop.gitlab[.]io(135件)」も作成されており、多くの通信が確認されました。そのため、当時はPerplexityやChatGPTと比べて、Claude関連のキーワードを探すユーザの方が多かった(または、それに該当する広告が効果的だった)ものと見受けられます。
第4波:ChatGPTおよびCodexへの傾倒(4月29日〜5月5日)
検知された通信:248件、不正なホスト名:26個
第4波では、偽装先ブランドがChatGPTやCodexに傾く動きが見られました。具体的なサブドメインとして、「codexgpt.gitlab[.]io(通信数:43件)」、「chatgpt-codex-app.gitlab[.]io(23件)」、「chatgpt-codex-lm.gitlab[.]io(20件)」などが挙げられます。
一方、Claudeを騙った攻撃も継続しており、「claudecode-desktop.gitlab[.]io(112件)」や「claudecode-download.gitlab[.]io(19件)」などへの通信が、依然として多く発生しました。
第5波:プラットフォーム「claude.ai」の悪用(5月6日〜14日)
検知された通信:294件、「claude.ai」のチャット共有画面に移行
第5波において、攻撃手段が大きく変化しました。これまでの「GitLab Pages」を介したサイト運営から大きく舵を切り、「claude.ai」による正規の「チャット共有機能」を悪用し始めたのです。攻撃者は、claude.aiを通して罠の仕組まれた「共有チャット」を作成し(少なくとも45個の共有IDを確認)、そのURLに直接繋がるGoogle広告を配信したのです。結果、第5波で検知された通信の大半(289件)は、claude.aiのチャット共有機能に集中しました。
この変化により、攻撃の危険性は格段に高まりました。被害者の誘導先が、他ならぬ正規ドメイン「claude.ai」そのものになったためです。不正なサブドメイン/サイトを判定するようなシステムは、すり抜けられてしまいます。
同時に、標的地域も拡大しました。具体的には、シンガポール(43件)や台湾(35件)、インド(23件)、イタリア(21件)、フランス(20件)など、広範に及びます。
第6波:「claude.ai」のチャット共有を悪用した手口に完全移行(5月21日〜6月14日)
検知された通信:337件、全攻撃がclaude.aiのチャット共有機能を通して発生
第6波の攻撃は、claude.aiの共有機能を悪用した手口で完全に一本化されました。この期間中、少なくとも61個の共有IDと、33個のGoogle広告キャンペーンIDが新規に確認されました。
共有機能への完全移行は、従来のセキュリティ対策が頼りにしていた「検知の手がかり」を大幅に取り払ってしまう点で、脅威となります。もはや、セキュリティツール側で不審と見なせるようなドメインは存在せず、URL上の技巧も見られず、ブロック対象となる低レピュテーションのホストもありません。ユーザを釣るための「餌」は、いまや、正規の製品として信頼されたインフラ上に存在しているのです。結果としてセキュリティチーム側では、自動化された防御手段が残されておらず、往々にしてあてにならない「各個人の警戒心」に頼るところが増えてしまいます。
「チャット共有機能」を悪用した手口
5月6日を境に攻撃経路がclaude.aiのチャット共有画面に移行したことは、マルバタイジング戦略の重大な進化を示すものです。攻撃者はclaude.aiの共有(Share)機能を悪用することで、信頼性の高いドメイン上に、誰でもアクセス可能で削除されにくいURLを得られるようになったのです。以降では、このチャット共有機能がどのように悪用され、新たな攻撃経路を生み出すのかについて、詳しく解説します。
第1段階:被害者がAIアシスタントを検索
このチャット共有を悪用した仕組みは、アクセスしてきたユーザが「Googleのスポンサー広告」や、そのリンク先ドメイン(「claude.ai」、「gitlab.io」など)を最初から信頼していることが前提となります。「site:claude.ai」のような形で検索を行えば、通常のオーガニック検索結果と見分けのつかない形で、偽広告が表示されてしまいます。
TrendAI™ Researchでは、こうした「スポンサー付きの検索結果」を直接的には再現できませんでした。しかし、実際に「claude」や「claude download」といったキーワードで検索したユーザが、最終的に攻撃用の共有URL(/share/を含む)にリダイレクトされたことは、確認済みです。
第2段階:広告をクリックした被害者が「claude.ai」のチャット共有URLに行き着く
不正な広告をクリックした被害者は、下記に示すClaudeのチャット共有URLにリダイレクトされます。
claude[.]ai/share/{一意な識別子}?gad_source=1&gad_campaignid={id}
このページは、他ならぬ正規のドメイン「claude.ai」にホストされたものであり、有効な証明書も備わっています。そのため、ブラウザによる安全判定(鍵マークなど)はもちろん、URL検査ツールや「Google Safe Browsing」のような振る舞い検知型のセキュリティフィルターであっても、異常として検知できません。
第3段階:サポート役に扮したメッセージを通して、被害者にターミナル画面の起動を指示
実際に共有チャットの画面を開くと、「Appleサポート」や「Cordaチーム」を思わせる巧妙なページタイトルや免責事項が表示され、さらに「ターミナルを開いてコマンドを貼り付ける詳細な手順」が示されます。共有チャットの内容や外観として、少なくとも2種が確認されました(図4〜6)。
第4段階:コマンド貼り付けの指示
画面上に提示されるコマンドは、一見すると極めて簡素なものに見えます。それは、「base64 -d」によって文字列をデコードし、得られたURLからcurl経由でスクリプトを取得するものです。実際に図4~6で示したBase64文字列をデコードすると、以下の不正なURLが出現しました。
hxxps://loserrq0j1sha8[.]com/debug/loader.sh?build=a39427f9d5bfda11277f1a58c89b7c2d
実際に被害者がコマンドをコピーし、ターミナル画面に貼り付けて実行すると、上記のサイトから「zshスクリプト(図7)」がダウンロードされます。そのzshスクリプトには別のBase64文字列が埋め込まれています。
zshスクリプト内のBase64文字列をデコードした結果は、一種の「ローダ」です。起動するとまず、macOSシステム上でロシア語のキーボードレイアウトや入力方式が有効であるかをチェックします。有効の場合は、「IS_CIS」にTRUEを設定し、本来の目的である情報窃取ツール「MacSync」を実行することなく、処理を終了します。
一方、「IS_CIS」が「FALSE」になった場合、情報窃取型マルウェアである「MacSync」を取得し、実行します。MacSyncは、ブラウザに保存されている認証情報やクッキー、SSH鍵、暗号資産ウォレットのファイルを回収し、攻撃者の管理するサーバに流出させます。
被害者側に相当する通信トラフィックの地理分布を調べたところ、アジア太平洋地域(APAC)が全体の67.4%を占めており、意図的に狙われていたことがうかがえます。中でも突出していたのが台湾であり、全体の30.5%にあたる772件の通信が記録されていました。これは、2位の日本(201件)や3位のシンガポール(188件)を大きく引き離しています。特定地域に被害が集中した事由として、Google広告の配信設定でAPACが意図的に優先されていたか、または、同地域のユーザがAIツールの広告に強い関心を示したものと見られます。
また、第5波で「claude.ai」の正規機能を悪用する方針にシフトしたタイミングで、被害地域に広がりが見られました。具体的には、シンガポールが急浮上したほか、インドやフランス、イタリアでの被害も増加しました。この点より、攻撃者が各段階を通じて広告のパフォーマンスデータを収集し、それに基づいてGoogle広告の地域ターゲティングをチューニングしていたものと見られます。
まとめとセキュリティ推奨事項
本攻撃キャンペーンは、AIに対する関心や導入率の高まりに付け入ったものであり、マルバタイジング戦略の進化を特徴づけています。有料の検索広告、信頼性の高いホスティングインフラ、複数の著名なAIブランドに似せた名前を組み合わせることで、攻撃者は正規のサービスを装いながら従来型のセキュリティ対策を潜り抜け、世界規模で被害を拡大させています。
「claude.ai」のチャット共有機能を悪用した手口からうかがえるように、AIプラットフォームの正規機能さえもソーシャルエンジニアリングの武器となり、新たな攻撃経路を生み出していく恐れがあります。AIツールが開発分野の必須要素として普及していく中、AIプラットフォームに対する「信頼」を逆手に取った今回のような攻撃は、さらに増加、蔓延していくものと予想されます。
TrendAI™ Researchでは引き続き本攻撃に対する監視を強め、新たな活動や戦術が確認され次第、随時情報を更新していきます。以下に、リスクを抑えるために有効なベストプラクティスを示します。
組織・企業向けの対策
- 開発者に対する教育:特にAIツールの導入ステップを狙う「ClickFix」の手口について、開発者チームに周知し、警戒を促してください。
- 不審なコマンド実行の監視:Webブラウジングの際に想定外のPowerShellコマンドなどが実行されていないか、ログをベースに監視してください。
- エンドポイント保護の強化:マルウェアのハッシュ値や関連する挙動(IoC:本稿末尾を参照)を検知できるように、EDRなどのセキュリティツールを設定してください。
エンドユーザ向けの対策
- 公式サイトに直接アクセス:ソフトウェアのダウンロード時は、検索結果の広告(スポンサーリンク)をクリックするのではなく、公式の製品サイトに直接アクセスしてください。
- コピー・ペースト指示への警戒:Webページ上にコマンドを提示し、そのコピー&ペーストを指示するような「インストール手順」に対しては、詐欺の可能性を疑ってください。特に、コマンド内に解読不能な文字列(Base64エンコードなど)が含まれている場合は、最大限の警戒が必要です。
- URLの厳格なチェック:「*.gitlab.io」や「claude.ai」といった著名なドメインであっても、不正なコンテンツが仕込まれている可能性があります。
- 公式パッケージマネージャーの利用:開発ツールのインストール時には、解説サイトなどの指示に闇雲に従うのではなく、公式のパッケージマネージャー(pip、npm、brew、aptなど)を優先的に使用してください。
プラットフォーム提供者向けの対策
- GitLab:「GitLab Pages」のサイト内にフィッシングやソーシャルエンジニアリング特有の傾向が見られる場合、より厳格な審査や、レート制限の導入を検討してください。
- Anthropic(claude.ai):不正対策として、チャット共有ページが有料広告からリンクされている、そこにターミナル用コマンドやダウンロード指示が記載されている、その他ClickFixに特有のパターンを検知するための仕組みを検討してください。
- Google広告:チャット共有URLや「*.gitlab.io」のサブドメインを飛び先としている広告出稿に対し、審査要件の強化を検討してください。
TrendAI Vision One™ Threat Intelligence Hub
「TrendAI Vision One™」の「Threat Intelligence Hub」は、新たな脅威や攻撃者に関する最新情報、「TrendAI™ Research」による独自の戦略レポート、そして「TrendAI Vision One™ - Threat Intelligence Feed」を提供します。
Emerging Threats:ClickFix Malvertising Campaign Exploits AI Hype: From GitLab Pages to Claude.ai Abuse (高まる脅威:AIサービス「claude.ai」のチャット共有画面から不正なコマンドを実行させるClickFix型攻撃キャンペーンを分析)
TrendAI Vision One™ Intelligence Reports (IOC Sweeping)
「TrendAI Vision One™」のアプリ「XDR Data Explorer App」
「TrendAI Vision One™」のお客様は、プラットフォーム内のアプリ「XDR Data Explorer」を活用することで、業務環境をスキャンし、今回挙げた侵入の痕跡(通信先、ファイルの特徴など)を検索(ハンティング)することが可能です。
「Threat Intelligence Hub」が有効化されている場合は、さらに多くのハンティング用クエリをご利用いただけます。
侵入の痕跡(IoC:Indicators of Compromise)
本事例に関連するIoCについて、こちらからご参照いただけます。
参考記事
Threat Actors Abuse claude.ai Shared Chat for ClickFix Malvertising Campaign
By: Fyodor Yarochkin, Joshua Paul Ignacio, Ryan Flores
翻訳:清水 浩平(Platform Marketing, TrendAI Research)