B
今週中
Gemini CLIやClaude CodeなどのAI開発ツールを装った偽のインストールサイトを通じて、開発者を標的としたマルウェア配布キャンペーン
📌 一言でいうと
Gemini CLIやClaude CodeなどのAI開発ツールを装った偽のインストールサイトを通じて、開発者を標的としたマルウェア配布キャンペーンが確認されました。攻撃者はSEOポイズニングを用いて偽サイトへ誘導し、PowerShellコマンドを実行させることで、メモリ上で動作するファイルレス・インフォスティーラーを感染させます。このマルウェアはAMSIやETWなどのセキュリティ機能を無効化し、ブラウザのCookieや認証情報、暗号化キーなどの機密情報を窃取します。
🔍該当判定
- 社内でエンジニアが『Gemini CLI』や『Claude Code』を導入しようとしている
- Google検索などでAI開発ツールを探し、公式サイト以外からインストーラーをダウンロードした
- Windows端末で、Webサイトに表示されたPowerShellコマンドをコピーして実行した
- 開発者が個人の判断でAIツールをインストールし、ブラウザのCookieや認証情報を管理している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
ソフトウェアのダウンロードは必ず公式サイトから行うこと。PowerShellの受限語言モード(Constrained Language Mode)の有効化や、FIDOベースのセキュリティキー導入による認証強化を推奨します。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】AI開発ツールの偽サイトによるウイルス感染について
お疲れさまです。情報システム担当です。
GeminiやClaudeなどのAI開発ツールを装った偽のウェブサイトから、個人情報を盗み出すウイルスが配布されていることが判明しました。
ご協力をお願いしたいこと:
1. ツールをインストールする際は、必ず公式の配布元であることを確認してください。検索結果の上位にあるサイトが必ずしも本物とは限りません。
2. サイト上で指示された「コマンド(PowerShell等)」をコピーしてそのまま実行しないでください。
対応期限: 本日中(確認をお願いします)
お疲れさまです。情報システム担当です。
GeminiやClaudeなどのAI開発ツールを装った偽のウェブサイトから、個人情報を盗み出すウイルスが配布されていることが判明しました。
ご協力をお願いしたいこと:
1. ツールをインストールする際は、必ず公式の配布元であることを確認してください。検索結果の上位にあるサイトが必ずしも本物とは限りません。
2. サイト上で指示された「コマンド(PowerShell等)」をコピーしてそのまま実行しないでください。
対応期限: 本日中(確認をお願いします)
Subject: [Security Alert] Malware Distribution via Fake AI Tool Websites
Dear employees,
It has been reported that fake websites impersonating AI development tools (such as Gemini and Claude) are being used to distribute malware that steals sensitive information.
Requested Actions:
1. Always verify that you are downloading software from official sources. Do not trust search results blindly.
2. Never copy and execute commands (e.g., PowerShell) provided by unfamiliar websites.
Deadline: Immediate
Dear employees,
It has been reported that fake websites impersonating AI development tools (such as Gemini and Claude) are being used to distribute malware that steals sensitive information.
Requested Actions:
1. Always verify that you are downloading software from official sources. Do not trust search results blindly.
2. Never copy and execute commands (e.g., PowerShell) provided by unfamiliar websites.
Deadline: Immediate
件名: 【共有】AI開発ツールを装ったファイルレス・インフォスティーラーへの対応について
お疲れさまです。AI開発ツール(Gemini CLI / Claude Code)を装った偽サイトによる攻撃に関する情報共有です。
■ 概要
SEOポイズニングで誘導された偽サイトからPowerShellコマンドを実行させ、メモリ上で動作するファイルレス・インフォスティーラーを感染させる攻撃です。AMSIおよびETWを無効化し、Cookieや認証情報を窃取します。
■ 影響範囲
- Windows環境でAI開発ツールを導入しようとする開発者
■ 対応手順
1. 以下のドメインをブロックリストに追加検討: geminicli[.]co[.]com, claudecode[.]co[.]com
2. 開発端末においてPowerShellの受限語言モード(Constrained Language Mode)の適用を検討してください。
3. FIDO2準拠のセキュリティキー導入による認証強化を推進してください。
■ 参考情報
- EclecticIQ Report
対応優先度: 高
対応期限: 速やかに
お疲れさまです。AI開発ツール(Gemini CLI / Claude Code)を装った偽サイトによる攻撃に関する情報共有です。
■ 概要
SEOポイズニングで誘導された偽サイトからPowerShellコマンドを実行させ、メモリ上で動作するファイルレス・インフォスティーラーを感染させる攻撃です。AMSIおよびETWを無効化し、Cookieや認証情報を窃取します。
■ 影響範囲
- Windows環境でAI開発ツールを導入しようとする開発者
■ 対応手順
1. 以下のドメインをブロックリストに追加検討: geminicli[.]co[.]com, claudecode[.]co[.]com
2. 開発端末においてPowerShellの受限語言モード(Constrained Language Mode)の適用を検討してください。
3. FIDO2準拠のセキュリティキー導入による認証強化を推進してください。
■ 参考情報
- EclecticIQ Report
対応優先度: 高
対応期限: 速やかに
Subject: [Technical Alert] Fileless Infostealer Impersonating AI Dev Tools
Dear Security Team,
We are sharing information regarding a campaign targeting developers via fake Gemini CLI and Claude Code installation sites.
■ Overview
Attackers use SEO poisoning to lure users to fake sites, where they are prompted to run PowerShell commands. This deploys a fileless infostealer that disables AMSI and ETW to steal browser cookies, credentials, and encryption keys.
■ Scope
- Developers using Windows environments attempting to install AI CLI tools.
■ Mitigation Steps
1. Consider blocking the following domains: geminicli[.]co[.]com, claudecode[.]co[.]com
2. Enforce PowerShell Constrained Language Mode (CLM) on developer workstations.
3. Implement FIDO-based security keys to mitigate credential theft risks.
■ Reference
- EclecticIQ Report
Priority: High
Deadline: Immediate
Dear Security Team,
We are sharing information regarding a campaign targeting developers via fake Gemini CLI and Claude Code installation sites.
■ Overview
Attackers use SEO poisoning to lure users to fake sites, where they are prompted to run PowerShell commands. This deploys a fileless infostealer that disables AMSI and ETW to steal browser cookies, credentials, and encryption keys.
■ Scope
- Developers using Windows environments attempting to install AI CLI tools.
■ Mitigation Steps
1. Consider blocking the following domains: geminicli[.]co[.]com, claudecode[.]co[.]com
2. Enforce PowerShell Constrained Language Mode (CLM) on developer workstations.
3. Implement FIDO-based security keys to mitigate credential theft risks.
■ Reference
- EclecticIQ Report
Priority: High
Deadline: Immediate