TrendAI™ Researchの調査によると、高度なマルバタイジングキャンペーンがClaude.aiの共有チャット機能を兵器化し、世界中の開発者やAIツールユーザーを標的にClickFix型ソーシャルエンジニアリング攻撃を展開していることが明らかになりました。
2026年4月8日から6月14日にかけて実施されたこのキャンペーンでは、わずか7週間で6つの異なる攻撃波にわたって106個の悪意あるホスト名が展開され、Claude AI、ChatGPT Codex、Perplexity、Cursor IDE、JetBrainsなど少なくとも6つの主要AIブランドを騙っていました。
キャンペーンは当初GitLab Pagesを悪用し、信頼性の高い*.gitlab.ioドメインを利用して正規のソフトウェアダウンロードページを模倣した92個の悪意あるサブドメインをホストしていました。
GitLabの無料静的ホスティングにはドメインへの固有の信頼性が備わっているため、攻撃者はセキュリティフィルターを回避し、セキュリティ意識の高いユーザーに対しても巧妙に作り込まれた偽インストールページで攻撃を仕掛けることができました。
攻撃の戦術が大きく転換したのは第5波(5月6日〜14日)で、この時点で攻撃者はclaude.aiの正規の共有チャット機能の悪用へと完全に移行しました。claude.ai上に悪用した「共有会話」を作成し、Googleの広告を購入してユーザーを直接これらのURLへ誘導する手口が取られました。
誘導先がclaude.ai自体(有効な証明書を持つ完全に信頼されたドメイン)となったことで、ブラウザの警告、URLの検査、セーフブラウジングのヒューリスティックスはいずれも不審な点を検知できませんでした。
第6波(5月21日〜6月14日)までに、キャンペーンは自前のインフラを完全に手放しました。この最終フェーズだけで、少なくとも61件の固有の共有会話IDと33件の新しいGoogle広告キャンペーンIDが確認されています。
AI開発ツールを検索したユーザーは、claude.aiの共有チャットURLへリダイレクトするGoogleスポンサー広告に誘導されました。
これらのページは「Appleサポート」または「Cordaチーム」を装い、洗練されたステップバイステップの手順を提示していました。ユーザーにTerminalを開かせ、一見無害に見えるcurlコマンドをbase64 -dにパイプした形で貼り付けるよう誘導するものでした。
デコードされたペイロードはリモートのローダースクリプトを取得するものであり、最初にロシア語キーボードレイアウトの有無を確認する処理が含まれていました。これはサンドボックス回避およびCIS諸国のユーザーを対象外とする一般的な手法です。
地理的データからは意図的な地域ターゲティングが明らかになっており、アジア太平洋地域が確認された被害トラフィック全体の67.2%を占めています。台湾だけで総トラフィックの30.5%、確認されたやり取りは772件に上り、日本(201件)やシンガポール(188件)を大幅に上回っています。
キャンペーン後半の波では、インド、フランス、イタリアへとターゲットが拡大しており、これは初期の実績データをもとにGoogle広告の地理的パラメーターをリアルタイムで最適化した結果とみられます。
TrendAI™ Researchからの通報を受け、Anthropicは当該の悪用を調査した上で、問題のアカウントを停止し、悪意ある共有会話を無効化したことを確認しました。同社は現在、共有チャット機能に対する追加の不正利用対策も講じています。
セキュリティチームや開発者は、ソフトウェアダウンロードを目的とした検索広告をクリックせず、公式製品サイトへ直接アクセスするようにしてください。claude.aiのような信頼されたドメイン上であっても、ウェブページからコピーしたターミナルコマンドを必要とするインストール手順は、危険なサインとして警戒すべきです。
組織は確認済みのペイロードハッシュに対するエンドポイント検出を導入し、開発者にClickFix攻撃のパターンを教育するとともに、ツールのインストールにはbrew、pip、npmなどの公式パッケージマネージャーを優先して利用するようにしてください。
翻訳元: https://cyberpress.org/malvertising-campaign-claude-ai-shared-chat-feature/
