Googleスポンサー広告に表示された共有Claude[.]aiチャットがMacマルウェアを配布 | Codebook|Security News
セキュリティニュース
サイバーインテリジェンス
特集
情報セキュリティ
Codebook|Security News > Articles > Threat Report > デイリーサイバーアラート > Googleスポンサー広告に表示された共有Claude[.]aiチャットがMacマルウェアを配布

デイリーサイバーアラート

AI

ClickFix

Silobreaker-CyberAlert

Googleスポンサー広告に表示された共有Claude[.]aiチャットがMacマルウェアを配布

佐々山 Tacos

佐々山 Tacos

2026.05.11

Googleスポンサー広告に表示された共有Claude[.]aiチャットがMacマルウェアを配布

BleepingComputer – May 10, 2026

Google広告を悪用して検索結果の「スポンサー広告」欄にClaudeの共有チャットを表示させ、チャット内に記された指示に従ったユーザーへマルウェアを配布するマルバタイジングキャンペーンが、少なくとも2件見つかっている。

 

これらのマルバタイジングは、アンソロピック社のAI「Claude」をダウンロードするために「Claude mac download」などのキーワードでGoogle検索を行うユーザーらを標的としたもの。Trendyol GroupのセキュリティエンジニアであるBerk Albayrak氏がこのキャンペーンを発見し、LinkedInで警告を発した

 

Albayrak氏によると、検索結果のスポンサー広告として表示される共有チャットは、Mac版Claude Codeをインストールするためのステップと称し、以下のような偽の手順を説明。共有者は「Apple Support」となっておりドメインも正規の「claude.ai」ドメインであるため一見本物らしく見えるものの、実際にはインストール手順に従ったユーザーにマルウェア「MacSync」を配布することを意図したClickFix風の手口だという。

 

<偽のインストール手順>

  • (ステップ1)Terminalを開く:Command (⌘)キーとスペースキーを押下し、「Terminal」と入力してReturnキーを押す
  • (ステップ2)コマンドの実行:チャット内に表示されたコマンドをコピーし、TerminalにペーストしてReturnキーを押す

 

ユーザーがこの手順に従うと、コマンドに隠されたURLによってC2ドメイン(customroofingcontractors[.]com)からMacSyncマルウェアがダウンロード・実行される。

 

同様のマルウェア配布用共有Claudeチャットは、少なくとももう1件見つかっている。BleepingComputerが発見したこの共有チャットもAlbayrak氏が発見したものと同様に偽のClaude Codeインストール手順を示し、ソーシャルエンジニアリング手法でマルウェアを配布する仕組みである点は同じ。ただし、C2としては別のインフラ(bernasibutuwqu2[.]com)が使われているという。

 

もう1つの違いは、Albayrak氏発見のバージョンではすぐに実行が始まるのに対し、BleepingComputerが発見したバージョンでは最初にターゲットの選別が行われる点。キーボード入力がロシアや独立国家共同体(CIS)関連の設定になっている場合は実行が停止される上、最初に外部IPアドレスやホスト名、OSバージョン、キーボードの言語設定を集めてユーザーのプロファイリングが実施されたのち、マルウェアが配布されるという。このスティーラーマルウェアは、ブラウザ認証情報やCookie、macOSキーチェーンのコンテンツを収集し、攻撃者のサーバーへ抽出する性能を持つ。

 

偽のなりすましドメインではなく、正規のドメイン(例:claude.ai)をマルバタイジングに使用する手法は、過去にも報告されている。2025年12月には、ChatGPTおよびGrokの共有チャット画面をGoogle検索結果の上位に表示させ、同じくユーザーを偽の手順に従わせるClickFix風の手法でmacOS向けスティーラーAMOSを配布するキャンペーンが観測されていた。

関連記事

デイリーサイバーアラート

AI

ClickFix

Silobreaker-CyberAlert

新たなClickFix風攻撃:SEOポイズニングで上位表示させたChatGPTチャット画面からスティーラーを配布

佐々山 Tacos

佐々山 Tacos

2025.12.11

AI

ClickFix

Silobreaker-CyberAlert

Trellixのソースコード侵害、RansomHouseが犯行声明

BleepingComputer – May 8, 2026

国際的なサイバーセキュリティ企業Trellixを侵害し、データを暗号化したとハッカーグループRansomHouseが主張。同社は同グループの主張について認識しており、現在詳細を確認中だという。

 

Fortune 100企業を含む53,000超の顧客を抱えるTrellixは、RansomHouseの犯行声明に先立つ5月1日にデータ侵害を公表。「ソースコードリポジトリ」への不正アクセスを発見し、調査を開始した旨を明かしていた。同社はソースコードリリースやディストリビューションプロセスへの影響はなく、ソースコードが悪用された形跡はないと述べたが、それ以上の詳細は伏せた。

 

それからおよそ1週間後の5月7日、RansomHouseがリークサイトにTrellixを掲載。4月17日に同社のデータを暗号化したと主張するとともに、侵入の証拠として数枚の画像も共有したという。これらの証拠画像は、同ハッカーグループがTrellixのアプライアンス管理システムへアクセスできていることを示唆しているものの、その真正性については裏付けが取れていないとされる。

 

RansomHouseは2022年に始動し、データ恐喝や盗んだデータのリークまたは販売オペレーションを行ってきたサイバー犯罪グループ。日本国内でも2025年のアスクルに対する攻撃が話題になったほか、暗号化ツール「Mario」の進化も注目されていた。

関連記事

デイリーサイバーアラート

Silobreaker-CyberAlert

ランサムウェア

ロシア

RansomHouseが暗号化ツール「Mario」をアップグレード

佐々山 Tacos

佐々山 Tacos

2025.12.22

Silobreaker-CyberAlert

ランサムウェア

ロシア

関連資料をダウンロード

Codebook 2025 ~サイバーセキュリティ分析レポート~

Codebook 2025 ~サイバーセキュリティ分析レポート~

いつもCodebookをご覧いただきありがとうございます。 Codebookでは2023年より、平日ほぼ毎日、サイバーセキュリティ/インテリジェンス関連の英文ニュースを厳選し、日本語で簡潔に要約...

資料ダウンロード
デジタル時代における世界の紛争

デジタル時代における世界の紛争

地政学的紛争とサイバー作戦の境界は曖昧さを増し、国家や非国家主体によるサイバー攻撃が日常的に行われる中、戦争や外交の在り方が複雑化しています。 特にハクティビズムや偽情報キャンペーンは、ロシア・ウク...

資料ダウンロード
【最新版】要件主導型インテリジェンスプログラムの構築方法|Silobreaker Report

【最新版】要件主導型インテリジェンスプログラムの構築方法|Silobreaker Report

本レポートは、サイバー脅威や地政学的リスクが高度化・複雑化する現代において、組織が適切な意思決定を行うために不可欠な「脅威インテリジェンス」の実践方法を解説するハンドブックです。特に、インテリジェンス...

資料ダウンロード
OSINTから読み解く国家支援サイバー脅威の攻撃トレンド

OSINTから読み解く国家支援サイバー脅威の攻撃トレンド

国家の支援を受けたサイバー脅威が進化を続けています。昨年の国内暗号資産取引所からのビットコイン流出に、北朝鮮アクターの巧妙なソーシャルエンジニアリングが利用されていたことは、記憶に新しいかと思います。...

資料ダウンロード
ディープ&ダークウェブにおけるSNSアカウント売買とディープフェイク

ディープ&ダークウェブにおけるSNSアカウント売買とディープフェイク

ネット上の匿名性を悪用した不正や犯罪が、日本においても大きな脅威となっています。2024 年の能登半島地震の際には、実在しない住所への救助要請など、人命に影響を及ぼしかねない偽情報に海外からの「インプ...

資料ダウンロード

Special Feature特集記事

セミナー情報一覧へ ANALYST CHOICEの記事一覧へ

Cyber Intelligenceサイバーインテリジェンス

このカテゴリーの記事一覧へ
このカテゴリーの記事一覧へ

Security情報セキュリティ

このカテゴリーの記事一覧へ
このカテゴリーの記事一覧へ