AhnLabは4月22日、生成AI「Claude」のダウンロードページを装った偽サイトが、情報窃取型マルウェアを配布している事例を確認したと発表し、利用者に警戒を呼びかけた。

同社によると、Claudeへの関心の高まりに乗じ、公式サイトを精巧に模した偽サイトが確認された。利用者をだましてマルウェアを導入させる手口だという。

偽サイトには「Bring Claude to your Desktop」との文言とともに、WindowsやmacOSなどOSごとのダウンロードボタンが設けられている。

利用者が自分のOSに対応するボタンをクリックしても、実際のインストールファイルはダウンロードされない。代わりに、インストール手順を案内するポップアップが表示され、特定のコマンドをコピーして端末上で貼り付け、実行するよう促されるという。

この手順に従うとマルウェアがインストールされ、PC内のファイルやブラウザ保存情報、暗号資産ウォレット情報などが窃取され、外部サーバーに送信されるとしている。

AhnLabは、こうした案内やエラーポップアップを装い、コピー＆ペーストで悪意あるコマンドを利用者自身に実行させる手口は「ClickFix」と呼ばれ、さまざまなマルウェア配布攻撃で広く悪用されていると説明した。

今回の偽サイトは、発見時点ではGoogle検索で「claude app」「claude desktop」などのキーワードを入力すると、検索結果の最上位に表示されていたという。

AhnLabは、攻撃者がClaudeをPCに導入しようとする利用者を誘導するため、Googleの検索広告サービスを悪用し、上位表示を狙った可能性があるとみている。

今回の事例を分析したAhnLabのキム・ドンヒョン氏（マネジャー）は、「最新の流行サービスや広く使われている著名サービスを精巧に装ったフィッシングサイトを使い、マルウェアを配布する事例が継続的に発生している」とコメントした。

その上で、「利用者には、検索結果の上位に表示されたサイトを信頼しやすい傾向がある。そのため、表示順位を不正に押し上げる手口まで使われており、特に注意が必要だ」と強調した。