🔥 この記事の詳細
2026-04-13 更新
B
今週中

Anthropic社のAI「Claude」の偽サイトを介して、PlugX RATを配布するキャンペーン

脆弱性🌐 英語ソース
📅 2026-04-13📰 securityweek
📌 一言でいうと
Anthropic社のAI「Claude」の偽サイトを介して、PlugX RATを配布するキャンペーンが確認されました。攻撃者は「プロ版」を装ったZIPファイルを配布し、正規のClaudeアプリをインストールさせつつ、バックグラウンドでVBScriptを用いてマルウェアを導入します。この攻撃ではDLLサイドローディング手法が用いられ、最終的にAlibaba Cloud上のC2サーバーと通信を行います。
🏢影響範囲
Claudeを利用しようとする個人ユーザーおよび企業従業員。特にAIツールを積極的に導入している組織。
該当時の対応
公式ルート(anthropic.com)以外からソフトウェアをダウンロードしないよう周知すること。エンドポイント保護製品(EDR)で不審なVBScriptの実行やDLLサイドローディングを検知・遮断する設定を確認すること。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】AIツール「Claude」を装った偽サイトとウイルスにご注意ください

お疲れさまです。情報システム担当です。
AIチャットツールの「Claude」の偽サイトから、パソコンを遠隔操作されるウイルス(マルウェア)が配布されていることが判明しました。

ご協力をお願いしたいこと:
1. 公式サイト(anthropic.com)以外からClaudeのアプリや「プロ版」などのソフトをダウンロードしないでください。
2. 万が一、不審なサイトからファイルをダウンロードし、インストールしてしまった場合は、すぐにPCをネットワークから切り離し、情シス担当までご連絡ください。

対応期限: 本日中
Subject: [Security Alert] Beware of Fake Claude AI Websites and Malware

Hi everyone,
It has been reported that fake websites impersonating the AI tool "Claude" are distributing malware that allows attackers to remotely control your computer.

What we need you to do:
1. Do not download Claude apps or "Pro versions" from any source other than the official website (anthropic.com).
2. If you have already downloaded or installed software from a suspicious site, please disconnect your device from the network and contact the IT department immediately.

Deadline: Immediate
件名: 【共有】PlugX RATを配布するClaude偽サイトへの対応について

お疲れさまです。Claudeを装った偽サイトによるPlugX RAT配布キャンペーンに関する情報共有です。

■ 概要
攻撃者は正規のClaudeアプリをインストールさせつつ、VBScriptを用いてバックグラウンドでマルウェアを導入します。具体的には、署名済みのG DATA antivirus updater (NOVUpdate.exe) を悪用したDLLサイドローディングによりPlugX RATを実行し、Alibaba Cloud上のC2サーバーと通信を行います。

■ 影響範囲
- 公式外のルートからClaudeをインストールしたエンドポイント

■ 対応手順
1. EDR/AVにて、不審なVBScriptの実行およびstartupフォルダへの不審なファイル(NOVUpdate.exe等)の書き込みを監視してください。
2. Alibaba Cloud等のクラウドインフラへの不審なTCP通信が発生していないかログを確認してください。
3. ユーザーに対し、公式ドメイン以外からのソフトウェア導入を禁止する周知を徹底してください。

■ 参考情報
- Malwarebytes Report

対応優先度: 高
対応期限: 速やかに
Subject: [Threat Intel] PlugX RAT Distribution via Fake Claude Website

Hi team,
This is a technical update regarding a campaign distributing the PlugX RAT via a fraudulent Claude AI website.

■ Overview
The attack chain involves a ZIP archive and an MSI installer that deploys the legitimate Claude app while executing a VBScript dropper in the background. The dropper utilizes DLL sideloading via a signed G DATA antivirus updater (NOVUpdate.exe) to execute a PlugX variant, which then establishes a TCP connection to a C2 server hosted on Alibaba Cloud.

■ Scope
- Endpoints that have installed Claude from unofficial sources.

■ Mitigation Steps
1. Monitor EDR/AV logs for suspicious VBScript execution and unauthorized file writes to the startup folder (e.g., NOVUpdate.exe).
2. Analyze network traffic for anomalous TCP connections to Alibaba Cloud infrastructure.
3. Reinforce policies prohibiting the installation of software from non-official domains.

■ Reference
- Malwarebytes Report

Priority: High
Deadline: Immediate
🔗 元の記事を読む
← トップへ戻る🗓 2026-04-13 のまとめ🔍 記事を検索