
本ブログでは、2026年5月に確認された脅威キャンペーン 「InstallFix」 について解説します。このキャンペーンは、Anthropic社のClaude AIを検索するユーザーを標的とし、Googleの広告システムを悪用して偽のインストールページへ誘導し、多段階の感染プロセスを通じてシステムを完全掌握する、非常に巧妙な攻撃です。
脅威の概要:Googleの「スポンサー広告」が罠になる
今回の攻撃の特徴は、Google Ads(旧Google広告)を悪用した初期誘導にあります。
ユーザーが「Claude code」や「Claude Code install」などのキーワードで検索すると、検索結果の最上部にスポンサードリンクとして偽サイトが表示されます。
[Google検索でスポンサー広告として表示される偽サイト]

Google検索結果の上部に「Sponsored result」として表示される偽のClaude Codeサイト
リンク先は claude-code-app.gitlab.io という、本物そっくりに作られた偽のClaudeページです。
[本物と見分けがつかない偽のClaude公式サイト]

「Bring Claude to your desktop」と表示される偽ページ。デザインはAnthropicの公式サイトを完全模倣している
攻撃フロー:5段階で進む「静かな感染」
InstallFixの感染プロセスは、5つのステージで構成されています。
[InstallFix攻撃の全体フロー]

Stage 1〜5 で構成される多段階攻撃の全体像
Stage 1:ClickFix Lure — ユーザーに「自らコマンドを実行させる」
偽サイトにアクセスすると、WindowsとmacOS向けにそれぞれ「インストール手順」が表示されます。
[Windowsユーザー向けの偽インストール手順(PowerShellコマンドが含まれている)]

[macOSユーザー向けの偽インストール手順(curlコマンドが含まれている)]

上:Windows向け(PowerShell)/ 下:macOS向け(curl)の偽インストール手順。いずれも悪性コマンドをコピー&ペーストするよう誘導する
一見すると、正規のソフトウェアインストール手順に見えます。しかし実際のコマンドは、悪性ドメイン download-version[.]1-5-8[.]com から claude[.]msixbundle という悪性ペイロードをダウンロードして実行するものです。
Stage 2:MSHTA実行 — Windowsの正規機能を悪用
ユーザーがコマンドを実行すると、PowerShellが mshta.exe(Windowsに標準搭載のHTML Applicationランナー)を呼び出します。
[mshta.exeによる悪性ペイロードのダウンロードと外部ネットワーク接続]

mshta.exe が悪性ドメインへ接続し、ペイロードをダウンロードしている様子
mshta.exe はWindowsの正規プロセスであるため、多くのセキュリティツールからは「正常な動作」として検出されにくいという特性があります。
Stage 3:HTA VBScript — 偽装されたファイルの中身
ダウンロードされる claude.msixbundle は、実際にはZIPファイルです。VirusTotalでも「PK」ヘッダー(ZIP形式)として確認されています。
[VirusTotalでのZIPファイル判定結果]

VirusTotalで「ZIP形式」と確認されるclaude.msixbundle
[ZIP内に格納されたファイル一覧]

展開すると MicrosoftBing という名前のMSIXファイルが含まれている。正規アプリケーションを装っている
ZIPの中には MicrosoftBing_1.1.37.0_ARM64.msix という、Microsoft製アプリを装ったファイルが入っており、その中にHTAファイルと難読化されたVBScriptが埋め込まれています。
Stage 4:PowerShell Stager — 多重防御回避
VBScriptが実行する難読化されたPowerShellコマンドには、以下の機能が含まれています。
- 感染端末の固有ID生成 — 重複感染防止と被害者特定
- SSL証明書検証の無効化 — すべてのHTTPS接続を強制的に信頼
- AMSI(Windows Antimalware Scan Interface)回避 — キーワード「AMSI_RESULT_NOT_DETECTED」を使ったバイパス
[XOR復号化に使用されるキー:AMSI_RESULT_NOT_DETECTED]

難読化解除で確認されたXOR復号キー。AMSIを意識的に回避するよう設計されている
- 内部.NET動作の操作 — セキュリティ機構の回避
- C2サーバーからの追加ペイロード取得
Stage 5:Fileless Payload — 痕跡を残さない実行
最終ペイロードはメモリ上で直接実行されます(ファイルレス攻撃)。ディスクに書き込まれないため、従来のアンチウイルスによる検出が極めて困難です。
感染後に確認された動作:
- ブラウザデータの窃取(Chrome、Firefoxなどのログイン情報・Cookie)
- 電子ウォレット関連データの収集
- Windowsタスクスケジューラへの登録(再起動後も自動実行)
- C2サーバー(
hosted-by[.]yeezyhost[.]net)への接続
なぜ危険なのか:「信頼できる経路」が攻撃に使われる
この攻撃が深刻な理由は、単なるマルウェアの配布ではない点です。
従来の前提
- Googleの検索結果は信頼できる
- スポンサー広告はGoogleが審査している
- 公式サイトに見えるサイトは安全
InstallFixが突きつけた現実
- Google Adsは広告主の審査を完全に通過できる
- 正規ドメイン(GitLab)を使えば見た目の信頼性は確保できる
- ユーザー自身に実行させることで「ユーザーの意図的な操作」になる
つまり、
攻撃者はシステムを「ハック」するのではなく、ユーザーを「騙す」ことでシステムに侵入する
という、ソーシャルエンジニアリングの本質を突いた攻撃です。
検出の難しさ:すべてが「正規の動作」に見える
この攻撃は以下の理由で検知が極めて困難です。
- Google広告経由のアクセス → 正規トラフィック
- ユーザー自身がコマンドを実行 → ユーザーの意図的操作
mshta.exeの使用 → Windows標準プロセス- ファイルレス実行 → ディスク上に証拠が残らない
- AMSI・SSL検証の回避 → セキュリティツールの検出をすり抜ける
EDRやアンチウイルスから見ると、「開発者が自分でインストール作業をしている」ようにしか見えないケースがほとんどです。
対策:「Googleで検索して見つけたサイト」を無条件に信頼しない
1. ダウンロードは公式サイト・公式チャネルのみ
ソフトウェアは必ず公式ドキュメントや公式GitHubリポジトリからダウンロードする。検索結果の広告(Sponsored)は踏まない。
2. コマンドをコピー&ペーストする前に内容を確認する
インターネット上で提示されたコマンドを、内容を確認せずそのまま実行しない。特にPowerShellや curl | bash 形式のコマンドは要注意。
3. エンドポイントのセキュリティ強化
- EDRツールの導入・ルールの定期見直し
- ファイルレス攻撃(メモリ内実行)を検出できる製品の導入を検討
4. AMSI・PowerShell実行ポリシーの適切な設定
PowerShellのログ記録(ScriptBlock Logging)を有効化し、難読化されたスクリプトの実行を可視化する。
5. 社内での啓発
「Google広告は審査されているから安全」という誤った認識を正す。開発者向けのセキュリティ意識向上トレーニングを定期的に実施する。
侵害指標 (Indicators of Compromise)
| 種別 | 値 |
|---|---|
| IP | 185.177[.]239.255 |
| IP | 77.91[.]97.244 |
| IP | 104.21[.]0.95 |
| URL | hxxps://download-version[.]1-5-8[.]com/claude[.]msixbundle |
| URL | hxxps://<victim_md5>.oakenfjrod[.]ru/cloude-91267b64-989f-49b4-89b4-984e0154d4d1 |
| Domain | download-version[.]1-5-8[.]com |
| Domain | hosted-by[.]yeezyhost[.]net |
| Domain | oakenfjrod[.]ru |
| FileHash (SHA256) | 2b99ade9224add2ce86eb836dcf70040315f6dc95e772ea98f24a30cdf4fdb97 |
| FileHash (SHA256) | ec1206989449d30746b5ceb2b297cda9f3f09636a0e122ecafb40b1dc2e86772 |
| FileHash (SHA256) | 2f04ba77bb841111036b979fc0dab7fcbae99749718ae1dd6fd348d4495b5f74 |
結論:AIの「名前」そのものが攻撃のベクターになる時代
InstallFixは、
「マルウェアを仕込む」話ではありません。
問題は、
人々がAIツールに対して抱く 「検索して公式サイトを探せば安全」 という信頼そのものが、攻撃に利用されたことにあります。
攻撃者はシステムの脆弱性を探さず、
攻撃者は人の習慣を研究し、
攻撃者は「信頼のある文脈」に悪意を埋め込む。
今こそ、
「自分がダウンロードしようとしているものは、本当に本物か」
を一度立ち止まって確認する習慣が、すべてのエンジニアに求められています。
AIツールは強力です。しかしその「名前」を騙ることも、攻撃者にとっては容易です。
本ブログが、皆さまの日常的なダウンロード・インストール行動を見直すきっかけになれば幸いです。
これまで、Colorkrew Securityのユンジェホがお届けしました。
ありがとうございました。
参考資料




