本ブログでは、2026年5月に確認された脅威キャンペーン 「InstallFix」 について解説します。このキャンペーンは、Anthropic社のClaude AIを検索するユーザーを標的とし、Googleの広告システムを悪用して偽のインストールページへ誘導し、多段階の感染プロセスを通じてシステムを完全掌握する、非常に巧妙な攻撃です。


脅威の概要:Googleの「スポンサー広告」が罠になる

今回の攻撃の特徴は、Google Ads(旧Google広告)を悪用した初期誘導にあります。

ユーザーが「Claude code」や「Claude Code install」などのキーワードで検索すると、検索結果の最上部にスポンサードリンクとして偽サイトが表示されます。

[Google検索でスポンサー広告として表示される偽サイト]

Google検索結果の上部に「Sponsored result」として表示される偽のClaude Codeサイト

リンク先は claude-code-app.gitlab.io という、本物そっくりに作られた偽のClaudeページです。

[本物と見分けがつかない偽のClaude公式サイト]

「Bring Claude to your desktop」と表示される偽ページ。デザインはAnthropicの公式サイトを完全模倣している


攻撃フロー:5段階で進む「静かな感染」

InstallFixの感染プロセスは、5つのステージで構成されています。

[InstallFix攻撃の全体フロー]

Stage 1〜5 で構成される多段階攻撃の全体像

Stage 1:ClickFix Lure — ユーザーに「自らコマンドを実行させる」

偽サイトにアクセスすると、WindowsとmacOS向けにそれぞれ「インストール手順」が表示されます。

[Windowsユーザー向けの偽インストール手順(PowerShellコマンドが含まれている)]

[macOSユーザー向けの偽インストール手順(curlコマンドが含まれている)]

上:Windows向け(PowerShell)/ 下:macOS向け(curl)の偽インストール手順。いずれも悪性コマンドをコピー&ペーストするよう誘導する

一見すると、正規のソフトウェアインストール手順に見えます。しかし実際のコマンドは、悪性ドメイン download-version[.]1-5-8[.]com から claude[.]msixbundle という悪性ペイロードをダウンロードして実行するものです。

Stage 2:MSHTA実行 — Windowsの正規機能を悪用

ユーザーがコマンドを実行すると、PowerShellが mshta.exe(Windowsに標準搭載のHTML Applicationランナー)を呼び出します。

[mshta.exeによる悪性ペイロードのダウンロードと外部ネットワーク接続]

mshta.exe が悪性ドメインへ接続し、ペイロードをダウンロードしている様子

mshta.exe はWindowsの正規プロセスであるため、多くのセキュリティツールからは「正常な動作」として検出されにくいという特性があります。

Stage 3:HTA VBScript — 偽装されたファイルの中身

ダウンロードされる claude.msixbundle は、実際にはZIPファイルです。VirusTotalでも「PK」ヘッダー(ZIP形式)として確認されています。

[VirusTotalでのZIPファイル判定結果]

VirusTotalで「ZIP形式」と確認されるclaude.msixbundle

[ZIP内に格納されたファイル一覧]

展開すると MicrosoftBing という名前のMSIXファイルが含まれている。正規アプリケーションを装っている

ZIPの中には MicrosoftBing_1.1.37.0_ARM64.msix という、Microsoft製アプリを装ったファイルが入っており、その中にHTAファイルと難読化されたVBScriptが埋め込まれています。

Stage 4:PowerShell Stager — 多重防御回避

VBScriptが実行する難読化されたPowerShellコマンドには、以下の機能が含まれています。

  • 感染端末の固有ID生成 — 重複感染防止と被害者特定
  • SSL証明書検証の無効化 — すべてのHTTPS接続を強制的に信頼
  • AMSI(Windows Antimalware Scan Interface)回避 — キーワード「AMSI_RESULT_NOT_DETECTED」を使ったバイパス

[XOR復号化に使用されるキー:AMSI_RESULT_NOT_DETECTED]

難読化解除で確認されたXOR復号キー。AMSIを意識的に回避するよう設計されている

  • 内部.NET動作の操作 — セキュリティ機構の回避
  • C2サーバーからの追加ペイロード取得

Stage 5:Fileless Payload — 痕跡を残さない実行

最終ペイロードはメモリ上で直接実行されます(ファイルレス攻撃)。ディスクに書き込まれないため、従来のアンチウイルスによる検出が極めて困難です。

感染後に確認された動作:

  • ブラウザデータの窃取(Chrome、Firefoxなどのログイン情報・Cookie)
  • 電子ウォレット関連データの収集
  • Windowsタスクスケジューラへの登録(再起動後も自動実行)
  • C2サーバー(hosted-by[.]yeezyhost[.]net)への接続

なぜ危険なのか:「信頼できる経路」が攻撃に使われる

この攻撃が深刻な理由は、単なるマルウェアの配布ではない点です。

従来の前提

  • Googleの検索結果は信頼できる
  • スポンサー広告はGoogleが審査している
  • 公式サイトに見えるサイトは安全

InstallFixが突きつけた現実

  • Google Adsは広告主の審査を完全に通過できる
  • 正規ドメイン(GitLab)を使えば見た目の信頼性は確保できる
  • ユーザー自身に実行させることで「ユーザーの意図的な操作」になる

つまり、
攻撃者はシステムを「ハック」するのではなく、ユーザーを「騙す」ことでシステムに侵入する
という、ソーシャルエンジニアリングの本質を突いた攻撃です。


検出の難しさ:すべてが「正規の動作」に見える

この攻撃は以下の理由で検知が極めて困難です。

  • Google広告経由のアクセス → 正規トラフィック
  • ユーザー自身がコマンドを実行 → ユーザーの意図的操作
  • mshta.exe の使用 → Windows標準プロセス
  • ファイルレス実行 → ディスク上に証拠が残らない
  • AMSI・SSL検証の回避 → セキュリティツールの検出をすり抜ける

EDRやアンチウイルスから見ると、「開発者が自分でインストール作業をしている」ようにしか見えないケースがほとんどです。


対策:「Googleで検索して見つけたサイト」を無条件に信頼しない

1. ダウンロードは公式サイト・公式チャネルのみ

ソフトウェアは必ず公式ドキュメントや公式GitHubリポジトリからダウンロードする。検索結果の広告(Sponsored)は踏まない。

2. コマンドをコピー&ペーストする前に内容を確認する

インターネット上で提示されたコマンドを、内容を確認せずそのまま実行しない。特にPowerShellや curl | bash 形式のコマンドは要注意。

3. エンドポイントのセキュリティ強化

  • EDRツールの導入・ルールの定期見直し
  • ファイルレス攻撃(メモリ内実行)を検出できる製品の導入を検討

4. AMSI・PowerShell実行ポリシーの適切な設定

PowerShellのログ記録(ScriptBlock Logging)を有効化し、難読化されたスクリプトの実行を可視化する。

5. 社内での啓発

「Google広告は審査されているから安全」という誤った認識を正す。開発者向けのセキュリティ意識向上トレーニングを定期的に実施する。


侵害指標 (Indicators of Compromise)

種別
IP185.177[.]239.255
IP77.91[.]97.244
IP104.21[.]0.95
URLhxxps://download-version[.]1-5-8[.]com/claude[.]msixbundle
URLhxxps://<victim_md5>.oakenfjrod[.]ru/cloude-91267b64-989f-49b4-89b4-984e0154d4d1
Domaindownload-version[.]1-5-8[.]com
Domainhosted-by[.]yeezyhost[.]net
Domainoakenfjrod[.]ru
FileHash (SHA256)2b99ade9224add2ce86eb836dcf70040315f6dc95e772ea98f24a30cdf4fdb97
FileHash (SHA256)ec1206989449d30746b5ceb2b297cda9f3f09636a0e122ecafb40b1dc2e86772
FileHash (SHA256)2f04ba77bb841111036b979fc0dab7fcbae99749718ae1dd6fd348d4495b5f74

結論:AIの「名前」そのものが攻撃のベクターになる時代

InstallFixは、
「マルウェアを仕込む」話ではありません。

問題は、
人々がAIツールに対して抱く 「検索して公式サイトを探せば安全」 という信頼そのものが、攻撃に利用されたことにあります。

攻撃者はシステムの脆弱性を探さず、
攻撃者は人の習慣を研究し、
攻撃者は「信頼のある文脈」に悪意を埋め込む。

今こそ、
「自分がダウンロードしようとしているものは、本当に本物か」
を一度立ち止まって確認する習慣が、すべてのエンジニアに求められています。

AIツールは強力です。しかしその「名前」を騙ることも、攻撃者にとっては容易です。

本ブログが、皆さまの日常的なダウンロード・インストール行動を見直すきっかけになれば幸いです。

これまで、Colorkrew Securityのユンジェホがお届けしました。
ありがとうございました。


参考資料