2026年4月16日、Rapid7は自社のMDR(Managed Detection and Response)顧客環境で検出したClickFixフィッシングキャンペーンの技術分析を公開しました。このキャンペーンはAnthropicのAIツール「Claude」のインストーラーを偽装しており、EUおよび米国の顧客で観測されています。Rapid7によると、発見時点ではVirusTotalやセキュリティコミュニティでの認知度が極めて低く、既存のインテリジェンスでは捕捉しにくい段階にありました。
本記事では、Rapid7が公開した攻撃チェーンの技術詳細を整理するとともに、2026年初頭から拡大している「AIツールの偽インストーラーを悪用するClickFix / InstallFix攻撃」というトレンドの中に本件を位置づけます。
キャンペーンの概要
| 項目 | 内容 |
|---|---|
| 発見者 | Rapid7 MDRチーム |
| 検出日 | 2026年4月9日 |
| 公開日 | 2026年4月16日 |
| 攻撃手法 | ClickFix(ソーシャルエンジニアリング) |
| 偽装対象 | Claude(Anthropic社のAIツール)のインストーラー |
| 観測地域 | EU、米国 |
| 初期ペイロード | MSIXを装ったZIPアーカイブ(claude.msixbundle)内にHTAを格納 |
| 最終ペイロード | インフォスティーラー系とみられるPEファイル(プロセスインジェクション経由) |
| 検出ルール | Rapid7 InsightIDR「Attacker Technique – Remote Payload Execution via Run Utility (shell32.dll)」 |
攻撃チェーンの技術分析
Rapid7の分析によると、このキャンペーンは以下の多段階で構成されています。
1. 初期アクセス:偽MSIXバンドルの配信
攻撃者はドメイン download-version[.]1-5-8[.]com で「claude.msixbundle」という名前のファイルをホストしていました。このファイルはWindowsのMSIXアプリパッケージ(通常Microsoft Store経由で配布される形式)を装っていますが、実際にはZIPアーカイブ内にHTA(HTML Application)ファイルが埋め込まれています。
被害者のマシン上では mshta がWindowsの「ファイル名を指定して実行」ユーティリティ経由で起動され、このURLが引数として渡されていました。Rapid7のInsightIDRは、RunMRUレジストリキー(「ファイル名を指定して実行」で過去に実行されたコマンドの履歴を保持)への mshta の書き込みを検出ルールで捕捉しています。
2. VBScriptによるデコードとPowerShell起動
HTA内のVBScriptには難読化された文字列群が含まれており、デコード関数を通じて復元されます。復元された文字列から、以下のコマンドが組み立てられ ShellExec で実行されます。
c:\Windows\System32\cmd.exe" /v:on /c "set x=pow&&set y=ershell&&call %windir%\SysWOW64\WindowsPowershell\v1.0\!x!!y! -E [ENCODED COMMAND]
環境変数の分割・結合で「powershell」という文字列を動的に生成する手法は、文字列ベースの検出を回避する典型的な難読化テクニックです。
3. ステージングPowerShell:AMSI バイパス
エンコードされたPowerShellスクリプト(ステージングペイロード)は、まず端末の COMPUTERNAME と USERNAME 環境変数からMD5ハッシュを生成し、その先頭16文字を使ってC2のURLを構築します。端末ごとに異なるURLが生成されるため、サンドボックス環境やURLスキャナでの検出を困難にしています。
さらに、このスクリプトは .NETの Marshal.WriteInt32 を呼び出し、System.Management.Automation.AmsiUtils の amsiContext フィールドを 0x41414141 で上書きします。これはAMSI(Antimalware Scan Interface)のバイパス手法であり、以降のPowerShell実行がWindowsのマルウェアスキャンを回避するようになります。
4. 多層難読化とプロセスインジェクション
AMSIバイパス後、C2から取得される追加のPowerShellスクリプトには、高度に難読化された文字列と大きなバイト配列が含まれます。Rapid7の分析では、ここからさらに複数段階のScriptBlockデコードが行われ、最終的に .NETの相互運用ライブラリを使用したプロセスインジェクションルーチンに至ります。
プロセスインジェクションでは、XOR復号されたシェルコードに対して以下のWindows APIが順次呼び出されます。
NtAllocateVirtualMemory(メモリ確保)Copy(シェルコード配置)NtProtectVirtualMemory(メモリ保護属性の変更)NtCreateThreadEx(リモートスレッド作成)NtWaitForSingleObject(スレッド完了待機)NtFreeVirtualMemory/NtClose(クリーンアップ)
最終段階では、インフォスティーラー系とみられるPEファイルの実行が試みられ、感染端末上の認証情報やブラウザ関連データが窃取の対象となった可能性があります。
検出と対策
Rapid7は以下の対策を推奨しています。
- レジストリキーの監視:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRUを監視し、ClickFix攻撃の痕跡(mshta等の不審なプロセスの実行履歴)を検出する - 封じ込め:想定外の活動が確認された場合、即座に端末を隔離し、ブラウザ履歴からコマンドのソース(無料ダウンロードサイト等)を特定する
- 認証情報のリセット:感染が確認された場合、感染端末に保存されていたすべての認証情報(ブラウザのパスワード保存等)をリセットする
MITRE ATT&CK マッピング
| 手法 | ID |
|---|---|
| System Binary Proxy Execution: Mshta | T1218.005 |
| Obfuscated Files or Information: Encrypted/Encoded File | T1027.013 |
| Obfuscated Files or Information: Command Obfuscation | T1027.010 |
| Command and Scripting Interpreter: PowerShell | T1059.001 |
| Process Injection | T1055 |
IoC(侵害指標)
| 種別 | 値 |
|---|---|
| ファイル(SHA-256) | claude.msixbundle: 2b99ade9224add2ce86eb836dcf70040315f6dc95e772ea98f24a30cdf4fdb97 |
| ドメイン | Oakenfjrod[.]ru |
| ドメイン | download-version[.]1-5-8[.]com |
| ドメイン | download[.]get-version[.]com |
広がるAIツール偽装ClickFixの波
今回のRapid7レポートは、2026年初頭から加速している「AIツールの偽インストーラーを使うClickFix / InstallFix攻撃」という大きなトレンドの一部として位置づけられます。
2026年2月には、MacPawのMoonlock Labが、Claudeの公開アーティファクト(claude.ai上でユーザーが生成・公開したコンテンツ)とGoogle広告を組み合わせたmacOS向けClickFixキャンペーンを報告しています(広告ブロッカーのAdGuardも独立して同種の攻撃を報告したとBleepingComputer等が報じています)。この攻撃では偽のトラブルシューティングガイドがmacOSユーザーにターミナルコマンドの実行を促し、MacSync(別名AMOS)インフォスティーラーをインストールさせる手法が使われました。Moonlock Labの報告では、悪意あるアーティファクトの1つが15,600回以上閲覧されたとされています。
2026年3月には、Push Securityが「InstallFix」と呼ばれる亜種を報告しました。こちらはClaude Codeの公式インストール手順ページをほぼ完全にクローンした偽サイトをGoogle広告で配信し、ユーザーにターミナルで悪意あるワンライナーを実行させるものです。Claude Code以外にも、Grok、n8n、NotebookLM、Gemini CLI、Cursorなど複数のAI開発ツールが同じ手法で標的にされています。
関連するmacOS側キャンペーンについて、ANY.RUNはAMOS Stealerがブラウザ認証情報、macOSキーチェーン、暗号資産ウォレットを窃取する挙動を確認しています。
これらの攻撃に共通する構造的な特徴は、以下の3点です。
- AIツールの正当なインストールフローを模倣する:Claude Codeをはじめ多くのAI開発ツールは、ターミナルにワンライナーを貼り付けて実行するインストール手順を公式に推奨しています。攻撃者はこの「ターミナルにコマンドを貼り付ける」という開発者の日常的な行動を悪用しています
- メール経由ではなく検索エンジン経由で被害者に到達する:Google広告やSEOポイズニングで偽サイトを上位表示させるため、メールフィルタリングや受信トレイベースの防御を完全にバイパスします。Push Securityの報告では、同社が検出するClickFix攻撃の5件中4件が検索エンジン経由です
- ユーザー自身の操作で感染が成立する:ユーザーが意図的にコマンドを実行するため、多くのエンドポイント防御が「正当なユーザー操作」として処理してしまいます
実務への含意
今回のRapid7レポートがWindowsのmshta + PowerShellチェーンを詳述しているのに対し、Moonlock LabやPush Security、ANY.RUNの報告はmacOSのターミナル + シェルスクリプトを対象としています。つまり、AIツール偽装ClickFixはOSを問わずクロスプラットフォームで展開されている状況です。
開発者やIT管理者が特に注意すべき点は、「公式ドキュメントと見分けがつかない偽インストールページが、検索結果やGoogle広告の上位に表示される」ということです。対策として以下を推奨します。
- AIツールのインストールコマンドは、必ず公式サイトのURLを直接入力してアクセスした上で取得する。検索結果やスポンサードリンクからはアクセスしない
- ターミナルに貼り付ける前に、コマンドの内容を確認する。特にbase64エンコードされた文字列やパイプで外部URLにアクセスする構造が含まれる場合は、デコードして内容を検証する
- MDMポリシーで未署名スクリプトのターミナル実行を制限する(macOS環境)
- Windows環境では
RunMRUレジストリキーの監視を有効にし、mshtaやpowershell -Eの実行を検出する - 感染が疑われる場合は、端末に保存されているすべての認証情報をリセットする。ブラウザのパスワード保存、SSHキー、APIトークン等を含む
ソース
一次ソース
- Rapid7「ClickFix Phishing Campaign Masquerading as a Claude Installer」(2026-04-16公開)
- Push Security「InstallFix: Weaponizing malvertised install guides」(2026-03-06公開)
- Moonlock Lab(MacPaw)— Claude Artifacts ClickFix macOS インフォスティーラーキャンペーン報告(2026年2月)
- ANY.RUN「ClickFix Hits macOS via AI Tools: Real Attack Analyzed」(2026年4月)
- Microsoft Security Blog「Think before you Click(Fix)」(2025年8月、ClickFix手法全般の分析)
参考情報
- Cyber Daily(2026-04-17)
- Malwarebytes(2026-03-09)
- Dark Reading(2026-03-10)
- Hackread / 7AI Threat Research Team(2026年3月)
コメント