Claude.ai チャットを侵害する攻撃者:ClickFix ソーシャルエンジニアリングを展開する新たな手口

Hackers Abuse Claude.ai Shared Chat Feature to Host the ClickFix Social Engineering Instructions

2026/06/18 CyberSecurityNews — 信頼された AI プラットフォームを悪用するハッカーたちが、高度なソーシャル・エンジニアリング攻撃を展開するケースが増えている。最近のキャンペーンでは、Claude.ai の共有チャット機能が悪用され、悪意ある ClickFix 指示がホストされていた。TrendAI Research によると、攻撃者は 7 週間の間に 6 つのキャンペーン・ウェーブを引き起こし、悪意のある一意なホスト名 106 件を展開した。この攻撃者は、インフラを継続的にローテーションし、AI がテーマの誘導をテストすることで効果を最大化していった。

ClickFix 戦術は進化し、従来の悪意のホスティングから、Claude.ai のような信頼されたプラットフォームへと移行している。

当初、このキャンペーンは GitLab Pages を介して実行され、そこで使用されたのは、信頼された “*. gitlab.io” ドメイン配下にホストされた 90 件を超える悪意のサブドメインだった。これらのページは、Claude AI/ChatGPT Codex/Perplexity/Cursor IDE/JetBrains などの、人気の AI 開発者ツールを装っていた。

脅威アクターは Google Ads を活用し、これらのツールを能動的に検索しているユーザーを標的にし、技術スキルを持つ個人を騙そうとしていた。

ClickFix 攻撃は、ユーザーを欺いて悪意のコマンドを手動で実行させるものだ。このキャンペーンは、ソフトウェアのインストールまたは修正を装うことで、被害者のターミナルまたは PowerShell コマンドを開かせ、悪意のコマンドをコピー&ペーストするよう指示する。

ClickFix 攻撃に悪用された Claude 共有チャット

この手法は、ユーザー自身が気づかれずにペイロードを実行し、多くの従来型セキュリティ制御をバイパスする。このキャンペーンにおける攻撃者は、Claude.ai の共有チャット機能の悪用へと転換し、2026年5月に活動を拡大した。

悪意の広告により、被害者を不審なドメインへ誘導するのではなく、正規の Claude.ai 共有チャット URL へリダイレクトしていた。これらの悪意のページは信頼できるように見えるが、ブラウザ警告/URL 検査/Safe Browsing 保護を実質的にバイパスしていた。

Claude Malvertising Campaign Infection Chain (Source : trendmicro)
Claude Malvertising Campaign Infection Chain (Source: TrendMicro)

ページに到達した被害者は、Apple Support や開発チームなどを装う偽のサポート会話に遭遇する。

これらのチャットは、ターミナルを開いてコマンドを実行するための手順を段階的に提示していた。通常、それらのコマンドには、base64 エンコードされたスクリプトが含まれており、デコード後に第 2 段階のペイロードが取得される。

Top 20 Countries Targeted by the Campaign (Source : trendmicro)
Top 20 Countries Targeted by the Campaign (Source: TrendMicro)

分析の結果として判明したのは、配信されていたペイロードは、macOS システムを標的とする MacSync インフォスティーラーであることだ。このマルウェアは、ブラウザ認証情報/Cookie/SSH キー/暗号資産ウォレット・データなどを収集し、攻撃者が制御するサーバへ流出させる。

注目すべき点として、このマルウェアにはロシア語キーボード配列のチェックが含まれており、CIS 地域のシステムへの感染を避けている可能性が高い。

“Running Claude Code on Mac” - A Shared Chat Posing as Apple Support (Source : trendmicro)
“Running Claude Code on Mac” – A Shared Chat Posing as Apple Support (Source: TrendMicro)

このキャンペーンの地理的な標的は、Asia-Pacific 地域に大きく集中しており、被害者の 67% 超を占めていた。

台湾だけで、観測されたトラフィックの 30% 超を占め、その後に続くのが日本とシンガポールであった。後続のウェーブでは、インド/フランス/イタリアなどの国々にも標的が拡大しており、広告ターゲティング戦略の継続的な最適化が示されている。

TrendAI の研究者は、初期段階で少なくとも 45 件の悪意の Claude.ai 共有チャット・インスタンスを観測し、後続のウェーブでは 60 件超に増加したことを確認した。

信頼されたインフラへの移行により、従来型の検出シグナルの多くが取り除かれ、主要な防御手段として残されるのはユーザーの認識だけになっている。

Top 10 Countries by Confirmed Victim Interactions (Source : trendmicro)
Top 10 Countries by Confirmed Victim Interactions (Source: TrendMicro)

責任ある開示を受けた Anthropic が取った対応は、悪意のアカウントの禁止/有害な共有チャットの削除/この機能の悪用を防ぐための追加セーフガードの実装などである。

セキュリティ専門家が警告するのは、このキャンペーンを実行する攻撃者が、正規プラットフォームを武器化して検出を回避するという、広く用いられる傾向を示している点である。AI ツールが、開発者ワークフローに深く組み込まれるにつれて、この種の悪用は増加すると予想される。

ユーザー組織に推奨されるのは、ClickFix 型攻撃についてユーザーを教育し、通常とは異なるコマンド実行を監視し、エンドポイント検出ソリューションを展開することである。

ユーザーに求められるのは、検索広告経由でソフトウェアをインストールすることを避け、URL を慎重に検証し、信頼できない送信元からのコマンドを決して実行しないことである。

訳者後書:信頼されたサービスを悪用して、ClickFix を展開する新たな活動が検出されました。この攻撃の背景にあるのは、普及が進む対話型 AI に関する広告枠が悪用され、利用者が警戒しにくい正規の接続先から、悪意のページへとリダイレクトしていく仕組みです。この巧妙なトラップに騙されたユーザーが、そこで提示される命令文を自身の端末で直接実行してしまい、防衛機能を潜り抜けた状態で認証鍵や大切な情報を盗み出されました。この攻撃は、日本を含む地域での多くの試みが観測されていますが、対応策としては、見慣れない経路で提示された命令コードを安易に実行しないという管理体制を整えることです。よろしければ、ClickFix での検索結果も、ご参照ください。