「claude.ai」の共有チャットが攻撃の踊り場に──AIブームに便乗したClickFix型マルバタイジングの進化

生成AIの開発ツールを探す人々が、いま新種のわなに狙われている。Google検索の広告をたどった先が、見慣れない怪しいサイトではなく、鍵マーク付きの正規ドメイン「claude.ai」そのものだったとしたら、どれだけ警戒していても足がすくむだろう。トレンドマイクロの脅威調査チーム(TrendAI Research)が2026年6月19日に公開した分析によると、攻撃者はまさにこの「信頼」を武器に変え、Claudeの共有チャット機能を悪用して、macOS向けの情報窃取マルウェア「MacSync」を配布していた。約2カ月で6段階に姿を変えながら世界中に広がったこのキャンペーンは、AIプラットフォームの正規機能さえソーシャルエンジニアリングの舞台になり得ることを突きつけている。

何が起きたのか

トレンドマイクロが追跡したのは、Google広告(マルバタイジング)を起点とする「ClickFix」型の攻撃キャンペーンだ。ClickFixとは、Webページ上に「トラブル解決」や「インストールの仕上げ」といった名目でコマンドを提示し、被害者自身の手でコピー&ペーストして実行させることで不正処理を起動させる手口を指す。攻撃者がマルウェアを送り込むのではなく、被害者が自分の意思でコマンドを走らせてしまう点に特徴がある。

同社の集計では、2026年4月8日から6月14日までの間に106個の不正なホスト名が確認され、攻撃は週単位で内容を更新しながら計6つの「波」に分けて展開された。おとりに使われたブランドの多くはAI開発ツールで、観測された通信全体の82.8%がこうしたツールの検索者に向けられていた。攻撃者はどのブランド名を騙れば最も効率よく人を誘い込めるかを、いわば「キーワードのA/Bテスト」のように試していたとみられる。

騙りの対象として名前が挙がったのは、Anthropicの「Claude」(Claude Code、Claude Desktop、Claude Desktop LMといった実在のプロダクト名が使い分けられていた)のほか、OpenAIの「ChatGPT Codex」、AI検索の「Perplexity」、AIネイティブなコードエディタ「Cursor」、統合開発環境の「JetBrains」など。さらに、ディスク掃除やメンテナンスを装う「Mac用ユーティリティ」の偽サイト(mac-clean-storage、fixmymac、mac-support など)も並行して運用されていた。これらが同一のキャンペーンIDから同時に観測されたことから、単一のグループがおとりのラインナップを増やしていたと考えられる。

GitLab Pagesから「claude.ai」へ──6段階の変遷

攻撃インフラは当初、無料の静的サイトホスティング「GitLab Pages」に置かれていた。信頼度の高い「*.gitlab.io」配下に、正規のダウンロードサイトに酷似したサブドメインを数十個も用意し、次々と切り替えることで検知やブロックを逃れる。初期段階だけで92個の不正ホストがこの仕組みで運用されていたという。「gitlab.ioだから大丈夫」という思い込みそのものが突かれた形だ。

トレンドマイクロは攻撃の推移を第1波から第6波として整理している。第1波(4月8〜13日)はClaudeを騙る「claude-code-app.gitlab.io」などが中心で、通信の多くは単一のGoogle広告キャンペーンから誘導されていた。第2波では偽装サブドメインが多角化し、第3波ではPerplexityやChatGPT Codexのテーマが加わってインフラが最大規模に達する。第4波ではChatGPT/Codexへの傾斜が見られた。

転機は第5波(5月6〜14日)だ。攻撃者はGitLab Pagesを離れ、「claude.ai」の正規の共有(Share)機能を悪用し始めた。罠を仕込んだ「共有チャット」を作成し(少なくとも45個の共有IDを確認)、そのURLに直接つながるGoogle広告を出稿したのである。続く第6波(5月21日〜6月14日)では手口が完全にこの方式へ一本化され、少なくとも61個の共有IDと33個のGoogle広告キャンペーンIDが新たに確認された。

この移行が厄介なのは、被害者の着地点が正規ドメイン「claude.ai」そのものになる点にある。有効な証明書を備えた本物のドメインであるため、ブラウザの安全表示(鍵マーク)はもちろん、URL検査ツールやGoogle Safe Browsingのような振る舞い検知でも、異常として弾くことが難しい。ブロック対象となる低評価のホストも、URL上の細工も存在しない。従来の自動防御が頼りにしてきた「手がかり」が、ごっそり奪われてしまうのだ。

共有チャットの中身と、その先のMacSync

トレンドマイクロによれば、実際に共有チャットを開くと「Appleサポート」や「Cordaチーム」を思わせるページタイトルや免責文が表示され、ターミナルを開いてコマンドを貼り付けるよう促す手順が並ぶ。提示されるコマンドは一見単純で、「base64 -d」でエンコードされた文字列をデコードし、そこから得られるURLへcurlでアクセスしてスクリプトを取得するものだった。デコードすると不正なドメイン(loader.shを配布するホスト)が現れる。

被害者がコマンドを実行すると、zshスクリプトがダウンロードされる。このスクリプトはまず、macOSでロシア語のキーボードレイアウトや入力方式が有効かどうかを確認し、有効なら「IS_CIS」を真として本来の処理を実行せずに終了する。旧ソ連圏(CIS)のユーザーを避ける挙動は、この種の犯罪ツールでしばしば見られる特徴だ。該当しなければ、情報窃取型マルウェア「MacSync」を取得して実行する。MacSyncはブラウザに保存された認証情報やCookie、SSH鍵、暗号資産ウォレットのファイルを収集し、攻撃者のサーバへ送信する。

MacSync自体は今回が初出ではない。複数の報道によれば、同マルウェアは以前からClickFix型の偽AIツール配布で観測されており、ExodusやLedger Live、Trezor Suiteといった暗号資産ウォレットアプリを見つけると、単にデータを盗むだけでなく、攻撃者サーバから取得した偽の中核ファイルで正規アプリを上書きする挙動も報告されている。そうなると、以降に入力されたシードフレーズや秘密鍵がそのまま攻撃者へ流れるおそれがある。

被害はアジア太平洋に集中、台湾が突出

被害通信の地理的分布には、明確な偏りがあった。トレンドマイクロの集計では、アジア太平洋地域(APAC)が全体の67.4%を占め、なかでも台湾が全体の30.5%にあたる772件と突出していた。これに日本(201件)、シンガポール(188件)が続く。同社は、この偏りは偶然ではなく、Google広告の地域ターゲティングが意図的にAPACへ向けられていたか、同地域のユーザーがAIツールの広告に強く反応した結果とみている。第5波以降はシンガポールやインド、フランス、イタリアへも被害が広がっており、攻撃者が広告の成果データを見ながら配信先を調整していた様子がうかがえる。

トレンドマイクロからの通報を受け、Anthropicは直ちに調査に着手し、問題のアカウントを停止したうえで該当する共有チャットIDを無効化した。同社は共有機能の悪用を防ぐための追加対策も進めているという。

なぜこの攻撃が転換点なのか

この一件が示すのは、「正規サービスへの信頼」そのものが攻撃資源になり得るという現実だ。攻撃者はマルウェアを直接ばらまくのではなく、有料広告・信頼されたホスティング・著名ブランドの名前という3つを組み合わせ、被害者に「自分で最後のスイッチを押させる」設計をとった。とりわけ、判定材料となる不審なドメインが消えたことで、防御の重心はセキュリティ製品の自動検知から、利用者一人ひとりの警戒心という不確実なものへと押し戻される。

AI開発ツールが日常の道具として普及するほど、その名前とプラットフォームは格好のおとりになる。トレンドマイクロは、AIへの信頼を逆手に取ったこの種の攻撃が今後さらに増えると予測する。実務的な備えとしては、ソフトウェアの入手は検索広告ではなく公式サイトに直接アクセスすること、Webページ上で提示されるコマンド(特にBase64などの解読不能な文字列を含むもの)のコピー&ペースト指示を疑うこと、インストールにはpip・npm・brew・aptといった公式のパッケージマネージャーを優先することが挙げられる。組織側では、開発者へのClickFix手口の周知、想定外のコマンド実行の監視、EDRによる痕跡(IoC)の検知強化が有効だ。「有名なドメインだから安全」という前提を、いったん手放すことが求められている。

出典・参考リンク