【2026年最新】Claudeをかたる偽広告・なりすましマルウェアが急増｜企業がAIツールを安全に使う実務対策

結論: 2026年にAIブランドを騙る偽広告・マルウェアキャンペーンが急増し、7週間で106の悪性ホスト名が展開・被害の67.2%がアジア太平洋地域に集中した。企業はAIツールの調達経路を情シスが管理し、検索広告経由のダウンロードを禁止する「経路統制」が最も効果的な防衛手段になっている。

この記事の要点:

• 要点1: 偽の「Claude Code」インストールページがGoogleの検索広告最上位に表示され、Windows・macOSの両方に認証情報窃取マルウェアを配布した（Bitdefender調査・2026年3月）
• 要点2: 正規のclaude.aiドメイン上の「共有チャット」機能がClickFix型ソーシャルエンジニアリングに悪用され、ブラウザ警告・URL検査・Safe Browsingをすり抜けた（Trend Micro調査・2026年5〜6月）
• 要点3: 企業がとるべき実務対応は「AIツールの公式ドメイン確認」「検索広告クリックによるダウンロード禁止の社内ルール化」「ClickFix型誘導への事前教育」の3点

対象読者: 社内でClaude・ChatGPT等のAIツール利用を広げている経営者・情シス担当者・現場管理職
読了後にできること: 今日中に「AIツールは公式サイト直打ちのみ・検索広告クリック禁止」の一文を社内Slackに共有し、全社防衛の第一歩を踏み出せる

「Claudeのダウンロードページが出てきたから、普通にインストールしたんですよ。」

事例区分: 想定シナリオ
以下は100社以上の研修・コンサル経験をもとに構成した、典型的な侵害シナリオです。

ある企業の担当者がGoogleで「Claude Code インストール」と検索し、上位に表示された広告をクリック。一見すると公式そのものに見えるドキュメントサイトへ飛び、指示通りにターミナルコマンドをコピー&ペーストした。その数週間後、SSH鍵とブラウザに保存していた認証情報が外部に漏洩していることが判明——というインシデントは、2026年のセキュリティレポートが報告している攻撃手口とまったく一致しています。

この手口が今、急増しています。セキュリティ企業Bitdefenderが2026年3月に報告した調査では、「Claude Code」を装ったGoogle広告が検索結果の最上位に掲載され、Windows・macOS双方に対応した認証情報窃取マルウェアが配布されていました。さらにTrend Microは同年6月、攻撃者が正規のclaude.aiドメイン上の共有チャット機能を悪用し始めたことを報告。7週間で106個の悪性ホスト名が展開され、被害の67.2%がアジア太平洋地域に集中しました。

怖いのは「偽物かどうか見た目ではほぼわからない」という点です。ドメインが正規に見えても、URLが見慣れたものでも、ページデザインが公式そのままでも、マルウェアは届きます。この記事では、攻撃の仕組みを防御者の視点で整理し、企業が今すぐ実装できる実務的な統制策とプロンプトを全公開します。技術的なセキュリティ知識がなくても、経営者・管理職が読めば「うちでやること」が具体的に見えるはずです。

何が起きているのか — 2026年の攻撃事例ファクト整理

まず、報道されている攻撃の全体像を整理します。

事例1：偽「Claude Code」Google広告（2026年3月・Bitdefender報告）

Bitdefenderのセキュリティ研究者は、「Claude Code」をキーワードとするGoogle検索広告に悪性リンクが含まれていることを発見しました（報告日：2026年3月16日）。

• 攻撃者は信頼スコアが蓄積されたマレーシア企業の侵害済み広告アカウントを悪用し、Googleの審査をすり抜けた
• 偽ドキュメントサイトはSquarespace上に構築され、Claude Code公式サイトのナビゲーション・レイアウト・スタイリングを完全コピー。見た目では判別不可能
• Windowsユーザーにはmshta.exeを使った多段階ペイロード（認証情報窃取マルウェア Trojan.Stealer.GJ / Trojan.Stealer.GK）、macOSユーザーには逆シェル型のMach-Oバックドアを配布
• Google社は発覚後、侵害された広告アカウントを停止した

ClickFix型の手口：「インストールにはこのコマンドを実行してください」という案内文を読者に信じ込ませ、自ら端末にコマンドをコピー&ペーストさせる。コマンド実行は「自分でやった」行為なので、エンドポイントのセキュリティソフトが止めにくいのが最大の問題点です。

事例2：claude.ai共有チャット機能の悪用（2026年5〜6月・Trend Micro報告）

Trend Microの研究者は、攻撃が正規のclaude.aiドメイン上に移行したことを報告しました（2026年6月14日時点）。

• 攻撃規模：7週間（4月8日〜6月14日）で106個の悪性ホスト名を6つの攻撃波に分けて展開。インフラを継続的にローテーション
• 初期フェーズ：GitLab Pagesの信頼ドメイン（*.gitlab.io）上に92個の悪性サブドメインを作成し、正規ソフトウェアのダウンロードページに偽装
• 進化フェーズ：claude.aiの「共有チャット（shared chat）」機能を悪用。正規ドメイン上に攻撃指示を載せることで、ブラウザ警告・URL検査・Safe Browsingの検知を回避しやすくした
• マルウェアの被害：MacSync infostealerが、ブラウザの認証情報・Cookie・SSH鍵・暗号資産ウォレットファイルを窃取し、外部のC2サーバーへ送信

地域別の被害内訳（Trend Micro調査）:

Anthropicの対応：Trend Microからの報告を受け、Anthropicは当該アカウントをBAN、悪性の共有会話を無効化、共有チャット機能の追加対策を実施中です。

事例3：別系統の偽Claudeサイト（2026年4月・Malwarebytes報告）

別の系統として、Malwarebytesは2026年4月10日、Claudeを装った偽ウェブサイトが「Claude Pro」のダウンロードを案内し、PlugXリモートアクセストロイを配布していたことを報告しました。Claudeの月間ウェブ訪問数は約2億9,000万回（Malwarebytes引用データ）に達しており、AI人気ツールのブランドが攻撃に利用される主要因になっています。

これら3つの事例は、いずれも「公式そっくりに見える」「URLやドメインが信頼できそうに見える」という点を悪用しています。技術的な防御だけでなく、「見た目が公式でも疑う」人的教育が企業防御の核になります。

AI導入のリスク管理を体系的に考えたい方は、AI導入戦略の完全ガイドも参考にしてください。

なぜAIブランドが狙われるのか — 攻撃者の視点から読み解く

100社以上のAI研修・導入支援を通じてわかってきたのですが、「AIツールを急いで導入しようとしている企業ほど、調達経路が曖昧になりやすい」という傾向があります。情シスの承認フローを飛ばして現場担当者がGoogleで検索してインストール、というパターンが特に多い。

攻撃者はこの心理を狙います。

• 旬のブランドは検索ボリュームが高い：Claudeは月間2億9,000万PV規模のプラットフォームです。これほど多くの人が検索するキーワードを偽装すれば、少数の悪性広告でも大量の被害者に到達できます
• 新機能・新製品は正規ドキュメントが少ない：「Claude Code」のような新サービスは、正規の公式ページが複数ある場合や情報が少ない場合があり、偽サイトに気づきにくい
• 技術系の作業はコマンドコピーに慣れている：エンジニアや導入担当者はドキュメントのコードブロックをコピーする慣習があり、ClickFix型の「コマンドをここに貼り付けて実行してください」という手口に乗りやすい
• 正規ドメインを踏台にすることで検知をすり抜ける：claude.aiの共有チャット機能の悪用は、Safe Browsingやブラウザ警告が「claude.ai自体は安全」と判断するため、ドメインベースの防御が効きにくいです

企業がとるべき実務統制5つ — プロンプトつき

ここからは「今週中に実装できる」防御策を、コピペ可能な実務プロンプトとセットで紹介します。技術部門向けではなく、経営者・人事・現場責任者がすぐ動けるものに絞っています。

統制1：AIツールの公式ドメイン確認ルールを1枚の「許可リスト」にする

最も効果的な防御は「検索広告をクリックしてダウンロードしない」という行動規範を全社員に浸透させることです。

よく研修先で聞くのが「公式サイトを知っていれば偽サイトには行かないはず」という意見。それは正しいのですが、「知っていること」と「習慣として実行していること」の間には大きなギャップがあります。Googleで検索したときに広告が出ると、反射的にクリックしてしまう人は多い。だから「許可リストに載っているURLだけを使う」というルールを明文化する必要があります。

プロンプト1：AIツール公式URL許可リストの作成

以下のAIツールについて、社内で利用を認める公式ダウンロード・ログインURLの一覧を作成してください。

対象ツール：[Claude / ChatGPT / Copilot / Gemini / その他利用中のAIツール]

出力形式：
- ツール名
- 公式サイトURL（ダウンロードまたはログイン用）
- 補足（モバイルアプリがある場合はApp Store/Google Playリンクも）
- NG行動（「Googleで"ダウンロード"と検索してクリック」等）

この一覧を社内Wikiに掲載し、「ここ以外からはインストールしない」というルールの根拠にするために使います。

統制2：「検索広告クリック禁止ルール」を社内周知する

許可リストができたら、次は「なぜ検索広告をクリックしてはいけないのか」を、技術的な説明抜きで全社員に伝える必要があります。脅しではなく、「こういう仕組みで騙されるので、こう行動してほしい」という説明です。

研修の中で「AIツールのダウンロードはどこから取得しますか？」と聞くと、「検索して出てきたページから」という回答が想像以上に多いです。そして「検索広告と公式サイトの区別は意識しますか？」と続けると、ほとんどの方が「特に意識していなかった」と答えます。知らなければ防げない。まずは知らせることが重要です。

プロンプト2：全社向けセキュリティ周知文の作成

AIツールに関するセキュリティ注意喚起の全社向けSlack投稿文を作成してください。

前提：Claudeなどの人気AIツールを偽った広告がGoogleの検索結果に表示され、ダウンロードするとマルウェアが入る事例が増えている。

条件：
- 技術用語を使わない（「マルウェア」は「悪いプログラム」と言い換えOK）
- 恐怖を煽らず「こうすれば安全」という行動規範を中心に書く
- 3〜5行の短い文にする
- 末尾に「わからないことはITサポートまで」という連絡先の案内を入れる（連絡先は[●●]に差し替えて使用）

統制3：「正規ドメインでも油断しない」ClickFix型への対策

Trend Microが報告したclaude.ai共有チャット悪用の手口は、従来の「不審なURLをクリックしない」という教育では止まりません。URLが正規（claude.ai）であっても、そのページに表示されている「コマンドをターミナルに貼り付けて実行してください」という指示が攻撃のトリガーになるからです。

正直なところ、この手口は「ドメインが安全なら信頼する」という従来の感覚を根本から崩してきます。攻撃者は合法的なプラットフォームの上に攻撃コンテンツを載せることを学んでいる。だから私たちも「コンテンツ自体を疑う」という一段深い判断軸を持つ必要があります。

ClickFix型を見分けるポイント:

• 「このコマンドをターミナルに貼り付けて実行してください」という指示が出てくる
• エラーを修正するためにPowerShellやターミナルでコマンドを実行するよう求められる
• 「クリップボードにコピーされました」という案内とともにBase64エンコードされた長いコマンドが表示される
• 「インストールを完了するには管理者権限が必要です」という要求が出る

プロンプト3：ClickFix型攻撃の社内教育資料作成

「ClickFix型ソーシャルエンジニアリング」に関する社内教育用のFAQ（Q&A形式）を作成してください。

対象読者：IT非専門の一般社員
構成：Q&A形式で5〜7問
含めるべき内容：
- ClickFix型とはどんな手口か（1問）
- 具体的にどんなページやメッセージが危険か（2問）
- 疑わしい場合にどう行動すべきか（1問）
- 間違えてコマンドを実行してしまった場合の初動（1問）
- 正規のソフトウェアのインストール指示で似たような手順が含まれることがあるが、どう見分けるか（1問）

技術用語は必要最低限にして、「こんな場面でこうする」という実践的な内容にしてください。

統制4：万が一の被害時の初動チェックリストを整備する

備えが整っていても侵害はゼロにはできません。侵害が疑われる場合の初動を、あらかじめ手順書として整備しておくことが重要です。

Trend Microの報告によれば、今回のキャンペーンで配布されたMacSync infostealerは、ブラウザの認証情報・Cookie・SSH鍵・暗号資産ウォレットファイルを窃取します。これらが漏洩した場合、被害が拡大する前に迅速に以下を実施する必要があります。

プロンプト4：被害時の初動チェックリスト作成

AIツールの偽サイトからマルウェアをインストールしてしまった可能性がある場合の、社内初動チェックリストを作成してください。

前提：情報漏洩の可能性があるデータは、ブラウザに保存した認証情報、Cookie（セッション情報）、SSHキー、パスワードマネージャーのデータ等

チェックリストに含める内容：
1. 端末をネットワークから切り離す手順（有線・無線両方）
2. 変更が必要な認証情報の優先順位（業務用メール・クラウドサービス・VPN等）
3. 情報システム部門への報告方法と連絡先（[●●]に差し替えて使用）
4. SSHキーが漏洩した場合の対処（鍵の廃棄・再生成・サーバーへの再登録）
5. 被害拡大防止のために確認するログとその確認方法（アクセスログ、ログイン履歴等）

わかりやすい番号付きリスト形式で作成してください。

統制5：全社教育でAIツール調達の承認フローを定着させる

長期的に最も効果があるのは「AIツールを使い始める前に情シスに相談する」という文化を根付かせることです。偽サイトの手口は年々巧妙になっていくので、その都度の対応では追いつきません。

これは「情シスが全部管理する」という意味ではなく、「新しいAIツールを使う前に、正規のダウンロード経路を情シスと一緒に確認する」というシンプルなフローです。現場が動きやすく、情シスも把握できる。そのバランスを研修で設計するのが私たちのアプローチです。

プロンプト5：AIツール承認申請フォームの設計

社員がAIツールを業務で使い始める前に情報システム部門へ申請するための、簡易フォームの質問項目を設計してください。

条件：
- 申請する側の負担を最小限に（5〜7項目以内）
- 情シスがリスク評価しやすい情報を収集できる
- AIツール特有のリスク（データの外部送信、ブラウザ拡張機能、インストール方法）が確認できる

出力形式：
各項目について「質問文」「回答形式（選択式/自由記述等）」「なぜこの情報が必要か」を記載してください。

よくある失敗パターンと回避策 — 4つの落とし穴

AIセキュリティ対策を進める企業で、繰り返し目にする失敗をまとめました。

失敗1：「技術的対策だけ完備すれば大丈夫」という思い込み

❌ エンドポイントセキュリティを最新版に更新して安心している
⭕ 技術的対策に加え、人的教育を並走させる

ClickFix型の手口は、ユーザー自身が「インストール作業をしている」という認識でコマンドを実行するため、エンドポイントのセキュリティソフトが「悪意のある操作」と検知しにくい場面があります。技術防衛と人的教育はどちらか一方では不十分です。

失敗2：「疑わしいURLを踏まなければ安全」という教育で終わる

❌ 「変なリンクはクリックしないように」という一言で終わらせる
⭕ 「正規ドメインでも、そのページの指示内容を疑う」という一段深い判断軸を教える

今回の事例ではclaude.ai（正規ドメイン）上の共有チャットが攻撃に使われました。URLだけ見ると完全に安全です。「URLが正しければ安全」という教育では対応できない手口が出てきています。

失敗3：情シスが「禁止リスト」だけを発表して終わり

❌ 「このツールは使用禁止」という通達だけ出す
⭕ 禁止理由と代替手段をセットで説明し、利用申請フローを整備する

禁止だけだと現場は「なぜ禁止なのかわからないが、とりあえず使わないようにしよう」となり、次の新しいツールが出たときにまた同じ問題が起きます。「こう使えば安全」という建設的なフローを設計することが長期的に効果的です。

失敗4：インシデント時の報告経路が不明確

❌ 「変なことがあったら情シスに連絡して」という曖昧な指示だけ
⭕ 「誰に・どのチャンネルで・何を伝えるか」を手順書に明示する

被害が拡大する前に封じ込めるには、発見から報告・対応までの時間を縮めることが重要です。報告経路が不明確だと「まず同僚に相談してから」「翌朝に情シスに話しかけてから」となり、その間にマルウェアが動き続けます。

「共有チャットリンク」を受け取った時の判断基準

今回の攻撃で特に注意が必要なのは「claude.aiの共有チャットURL」を使ったソーシャルエンジニアリングです。取引先・同僚・SNSで共有されたclaude.aiのリンクを開いた際に、以下のような指示が表示されることがあります。

• 「Apple Supportに認証していただくために、このコマンドをターミナルに入力してください」
• 「インストールを完了するには管理者権限で以下を実行する必要があります」
• 「セキュリティエラーを修正するには、クリップボードにコピーされたコマンドを貼り付けて実行してください」

これらはAIツールの正規のサポートフローでは登場しません。claude.aiのページであっても、ターミナルやPowerShellへのコマンドコピーを求める指示が表示された場合は、コマンドを実行せずに情シスへ確認することが最善の行動です。

Anthropicが実施した対応と、企業が期待できる限界

Trend MicroからAnthropicへの報告後、Anthropicは「当該アカウントのBAN、悪性の共有会話の無効化、共有チャット機能への追加対策の実施」を行いました。また、Google社は侵害された広告アカウントの停止措置を取っています。

ただし、プラットフォーム側の対応には限界があることも理解しておく必要があります。

• 悪性コンテンツが報告されてから削除されるまでの間に被害者が出る
• 攻撃者は106個のホスト名を6波に分けてローテーションしており、1つ止めても次が出てくる構造になっている
• 共有チャット機能そのものはコラボレーションツールとして合法的に使われており、機能の完全停止は難しい

プラットフォームが対応してくれることを前提に自社の防衛を委ねるのではなく、「プラットフォームの対応が追いつく前に自社側で人的・技術的統制を整えておく」という発想が必要です。

AI利用に関する社内ルールの整備については、AI利用ガバナンス規程テンプレート【2026年最新】に実用的なひな型があります。

情シスが来週から実装できる3つの技術統制

経営者・管理職向けの施策に加え、情シス担当者が技術的に対応できる施策もまとめておきます。

1. AIツールのダウンロード元を許可リストで管理する

ネットワークレベルやエンドポイントセキュリティの設定で、AIツールのインストールを特定の公式URLからのみ許可するルールを設ける。例えば、claudeコードのインストールはclaude.ai/codeのみ許可し、Squarespace・GitLab Pages等のサードパーティ経由のダウンロードはブロックする。

2. ブラウザ拡張機能のインストールポリシーを策定する

AIブラウザ拡張機能（ChatGPT・Claude系のブラウザ拡張など）を偽った悪性拡張が増えています。組織管理のブラウザであれば、拡張機能のインストールを許可リスト制にするポリシーが有効です。Chrome Enterprise・Edge for Businessには管理者ポリシーでの拡張機能制限機能があります。

3. ログイン認証情報の定期ローテーションと多要素認証の徹底

マルウェアによってブラウザ保存の認証情報が窃取された場合、第一の被害を受けるのはパスワード再利用がある業務アカウントです。重要な業務アカウントにはMFA（多要素認証）を必須化し、パスワードマネージャーで一意のパスワードを使う運用を確立しておくと、認証情報窃取による被害を最小化できます。

AIセキュリティのリスク管理を含む包括的な社内ルール整備については、中小企業のAIセキュリティ対策・情報漏洩を防ぐ実践ガイドもあわせてご覧ください。

まとめ：今日から始める3つのアクション

Claudeをかたる偽広告・なりすましマルウェアの攻撃は、技術だけでなく人的な「信頼」を突いてくる。公式そっくりの見た目、正規ドメインを踏台にした攻撃、「コマンドをコピーして実行してください」というClickFix手口——どれも従来の「変なURLを踏むな」という教育では防げません。

企業が今できる最善の防衛は、「AIツールの調達経路を統制し、疑わしいコマンド実行の指示には乗らない」という行動規範を組織に浸透させることです。

1. 今日やること：上記のプロンプト2をClaude（公式サイトから）でそのまま使い、全社向けのセキュリティ周知文を作成してSlackに投稿する（3分でできます）
2. 今週中：社内で使っているAIツールの公式URLを一覧化し、情シスまたは管理職がWikiやNotionに「AIツール公式URL許可リスト」として共有する
3. 今月中：AIツール導入前の簡易申請フローを整備し、新しいツールを使い始める前に情シスが確認できる仕組みを作る

次回予告：次の記事では「AIエージェント導入後のセキュリティ監査」をテーマに、組織内で自律動作するAIエージェントのリスク管理策を解説します。

参考・出典

• Malvertising Campaign Abuses Claude.ai Shared Chat Feature for Social Engineering Attacks — CyberPress（参照日：2026-06-21）
• Hackers Abuse Claude.ai Shared Chat Feature to Host the ClickFix Social Engineering Instructions — CyberSecurity News（参照日：2026-06-21）
• Fake Claude site installs malware that gives attackers access to your computer — Malwarebytes（参照日：2026-06-21）
• The Claude Code Trap: Bitdefender Unmasks Fake Google Ads Hijacking Developer Terminals — Security Online（参照日：2026-06-21）
• Windows and macOS Malware Spreads via Fake “Claude Code” Google Ads — Bitdefender Labs（参照日：2026-06-21）

著者：佐藤傑（さとう・すぐる）
株式会社Uravation代表取締役。X（@SuguruKun_ai）フォロワー約10万人。
100社以上の企業向けAI研修・導入支援。著書『AIエージェント仕事術』（SBクリエイティブ）。
SoftBank IT連載7回執筆（NewsPicks最大1,125ピックス）。

ご質問・ご相談は お問い合わせフォーム からお気軽にどうぞ。