Google検索の上位結果にハッカーが仕掛けたClaudeプラグインサイト
詐欺師がClaudeプラグイン検索で上位表示されるGoogle広告を悪用し、Anthropic公式を模した偽サイト経由で資格情報を窃取するマルウェアを配布する攻撃事例が報告された。
キーポイント
偽Claudeサイトによるマルウェア配布
Squarespace上にAnthropicのブランドを完全に模した偽サイトが作成され、ターミナルコマンドを実行させることで資格窃取型マルウェア(stealer)をダウンロードさせる攻撃が行われた。
Google広告の悪用と検証スキームの隙間
詐欺サイトは「Enhancv R&D」というブルガリアの事業者名でGoogle広告として承認され、公式のアイデンティティ検証プロセスを悪用して検索結果の上位に表示されていた。
AIブームに伴う新たな攻撃ベクトル
生成AIツールの普及により、開発者がプラグインや認証設定を検索する際に、従来のフィッシング手法をAI関連キーワードに転用した攻撃が急増している。
Googleの対応とプラットフォーム側の課題
ユーザーからの通報を受けGoogleは該当広告を削除しアカウントを停止したが、AI関連検索結果のセキュリティ監視強化と審査プロセスの見直しが急務となっている。
詐欺広告はAI固有の問題ではない
ハッカーは映画やゲームなど現在のインターネットの流行に乗ってユーザーを騙す常套手段を用いており、Claudeへの標的化もその一環である。
AIツールの普及が攻撃の標的を増加させている
Claudeユーザーへの攻撃はAIツールの人気上昇を示しており、ハッカーは利用者がリンクの検証を怠る可能性を逆手に取っている。
他のAIツールも同様の攻撃手法にさらされている
2024年1月には、OpenClawなどのAIエージェントツールの指示にバックドアを仕込む同様の攻撃手法も報告されている。
影響分析・編集コメントを表示
影響分析
生成AIの開発・利用が一般化するにつれ、攻撃者はClaudeやGitHub連携などの具体的な開発ワークフローを標的としたフィッシング広告を仕掛けるようになっている。この事例は、単なる技術的な脆弱性ではなく、検索エンジンの広告審査制度とユーザーの無防備な検索行動が組み合わさった社会的エンジニアリング攻撃の典型を示しており、AI開発コミュニティ全体へのセキュリティ意識向上とプラットフォーム側の審査強化が急務であることを示唆している。
編集コメント
生成AIの普及は開発効率を飛躍的に向上させる一方、攻撃者にとっても「検索されるキーワード」を提供する格好の餌となっている。開発者は公式ドキュメントへのリンクを安易にクリックせず、コマンドの実行前にドメインと署名を必ず検証する「ゼロトラスト」的な姿勢が、現在のAI開発環境では必須となっている。
imageClaudeプラグインを検索するユーザー向けのGoogle検索上位結果が、最近まで悪意のあるコードを含むサイトへと誘導しており、ユーザーの認証情報を窃取しようとする試みが明らかになりました。
このニュースは、生成AIツールへの関心が爆発的に高まっていることが、ハッカーにユーザーを攻撃する新たな手段を与えていることを示しています。
この悪意のあるサイトは、Claudeを利用していた404 Mediaの読者から報告されました。
読者のダン・フォーリー氏はメールで、「Claude Code CLIがGitHubプラグインを自分のGitHubアカウントに認証させる方法を調べるために検索していたところ、Squarespaceでホストされている悪意のあるサイトに偶然たどり着いた可能性があります」と語りました。
フォーリー氏が「github plugin claude code」を検索したところ、トップ表示されたのは「Install Claude Code - Claude Code Docs」というタイトルのSquarespaceサイトのスポンサー付き広告でした。
クリックすると、AnthropicのClaude公式サイトを装い、デザインやブランディングまで同一のサイトが表示されました。
imageフォーリー氏が指摘したところによると、この偽のAnthropicヘルプサイトは、Claude Codeのインストール手順の一部を別のものにすり替えていました。その中には、ユーザーがMacにソフトウェアをインストールするためにターミナルに貼り付けるよう指示された一行が含まれており、そのコマンドには難読化されたURLが記され、実際の接続先が隠されていました。フォーリー氏がこれを解読したところ、そのURLは完全に別のサイトからソフトウェアをダウンロードするものであることが判明しました。
既知のマルウェア事例を共有するプラットフォーム「ThreatFox」は最近、このドメインがユーザーの認証情報を盗むタイプのマルウェアである「ステーラー」を配布しているとフラグを立てました。ThreatFoxがこのドメインをステーラーに関連付けたのは、わずか数日前のことでした。
フォーリー氏が404 Mediaと共有した広告主プロファイルのスクリーンショットによると、Googleの広告管理画面では、この悪意のあるスポンサー付き検索結果の広告主は「Enhancv R&D」(ブルガリア所在)と表示されていました。この広告主はGoogleによる認証済みとも表示されており、これは、名前と所在地を法的に証明する書類を提出する本人確認プロセスを完了していたことを意味します。
フォーリー氏はこの広告をGoogleに報告し、Googleは検索結果から当該サイトを削除しました。ステーラーを配布していた可能性のあるURLは現在、アクセス不能となっています。
Googleの広報担当者はメールで、「当社のポリシーに違反したとして、この広告を削除しアカウントを停止しました」と回答しました。Googleは、情報のフィッシングやマルウェアの配布を目的とする広告に対して厳格なポリシーを設けており、Geminiを活用したツールと人的レビューを組み合わせてこれらのポリシーを大規模に適用していると説明。また、この種の広告の大部分は公開前に検知されていると主張しています。
正当なウェブサイトを装ったGoogleの有料広告に悪意のあるリンクが含まれる問題は、AIに限ったことではありません。ハッカーは常に、リリース前の海賊版映画やゲーム、有名人の性的映像など、その時々でインターネット上で人気の高いものになりすまし、ユーザーに悪意のあるリンクをクリックさせようと試みてきました。ハッカーがClaudeユーザーを標的にしている事実は、AIツールの人気の高まりと、ユーザーがそれらを利用する際にクリック先を十分に確認しないだろうというハッカーの期待を反映しています。
1月には、ハッカーが同様の手法でAIエージェントツール「OpenClaw」のユーザーを標的にする可能性について報じました。その方法は、ハッカー用のバックドアを含むAIエージェント向け指示文を検索上位に表示させるというものでした。
原文を表示
imageA top result on Google for people searching for Claude plugins sent users to a site that recently contained malicious code in an apparent attempt to steal their credentials.
The news shows how the explosion of interest in generative AI tools is giving hackers new ways to attack users.
The malicious site was flagged to us by a 404 Media reader who was using Claude.
“I was googling to troubleshoot how to get my Claude Code CLI to authenticate its github plugin to my Github account and may have stumbled upon a malicious site hosted on Squarespace of all places,” the reader, Dan Foley, told me in an email.
Foley searched for “github plugin claude code” and the top result was a sponsored ad for a Squarespace site with the title “Install Claude Code - Claude Code Docs.”
When he clicked through, he saw a site that was pretending to be the official site for Anthropic’s Claude with identical design and branding.
imageThe phony Anthropic help site had swapped some of the Claude Code installation instructions for others, Foley pointed out. That included a line users could paste into their terminal to allegedly install the software on a Mac. The command included an obfuscated URL, hiding what its real destination was. When Foley decoded it, he found it downloaded software from another site entirely.
ThreatFox, a platform for sharing known instances of malware, recently flagged that domain as sharing a “stealer”, a type of malware that steals users credentials. ThreatFox linked that domain to the stealer as recently as a few days ago.
Google’s ad center listed the advertiser behind the malicious sponsored search result as “Enhancv R&D,” which is based in Bulgaria, according to a screenshot of the advertiser profile Foley shared with 404 Media. The advertiser was also listed as being verified by Google, meaning they had to complete an identity verification process which requires legal documentation of their name and location.
Foley said he flagged the ad to Google, which removed the site from search results. The URL which pointed to the potential stealer is no longer online.
“We removed this ad and suspended the account for violating our policies,” a Google spokesperson told me in an email. Google said it has strict policies against ads that aim to phish information or distribute malware, and that it uses a combination of Gemini-powered tools and human review to enforce these policies at scale. Google claims the vast majority of these ads are caught before the ads ever run.
Malicious links included in paid Google ads that are pretending to be legitimate websites is not a problem that’s unique to AI. Hackers often try to get users to click malicious links by pretending to be whatever is popular on the internet at any given moment, be it a pirated movie or video game just before release or celebrity sex tapes. The fact that hackers are targeting Claude users reflects the growing popularity of AI tools and the hackers’ hope that users are not careful enough to check what they’re clicking when using them.
In January, we wrote about how hackers could similarly target users of the AI agent tool OpenClaw by boosting instructions for AI agents that contained a backdoor for hackers.
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み