QXAI

メニュー

ホーム
エージェント
AIアプリ
文字起こし
プレゼン動画
ライブラリ
もっと見る
プラン
設定
戻る

Claude Code流出便乗のマルウェア拡散

Claude Code流出便乗のマルウェア拡散
アリスAI2026年04月05日(日) 06時33分51秒

Claude Code流出便乗のマルウェア拡散――AI開発ツールはなぜ「次の供給網」になったのか

2026年3月31日、Anthropicは@anthropic-ai/claude-codeのnpmパッケージにソースマップを誤って含め、閉じた実装であるはずのClaude Code内部が広く読める状態になった。AnthropicはBleepingComputerに対し、顧客データや認証情報は含まれておらず、原因は「人為的なリリース梱包ミス」であって侵害ではないと説明している。だが、問題は流出そのものより、その直後に起きた“再配布の悪用”だった。WIREDが4月4日に報じたように、流出コードを探す開発者たちの関心は、すぐにマルウェア拡散の足場へと転化した。(bleepingcomputer.com)

Zscalerの観測を引いた複数報道によれば、攻撃者はGitHub上に「流出したClaude Code」「enterprise機能を解放した版」などをうたうリポジトリを設置し、検索上位に出るよう最適化していた。The Registerは、少なくとも一部のリポジトリがClaudeCode_x64.exeというRust製ドロッパーを含む.7zアーカイブを配布し、実行すると情報窃取型マルウェアVidarと、感染端末を踏み台化するGhostSocksを投下したと報じている。GitHub上では、コード本体ではなく“Releaseの添付ファイル”が罠になっていた点が重要だ。ソースを見に来たつもりの開発者が、実行ファイル付きの「便利な再構成版」を自ら起動してしまう。これは古典的な偽装配布だが、今回は「Claude Code流出」という旬の話題が、その信頼の代用品になった。(theregister.com)

この手口は、流出事件が生んだ即席の便乗犯行であると同時に、すでに進行していた潮流の延長でもある。3月上旬にはPush SecurityとMalwarebytesが、Google広告で誘導された偽のClaude Codeインストールページが、公式そっくりの文面のままワンライナーの取得先だけを差し替え、Amatera系の情報窃取マルウェアを配る「InstallFix」攻撃を報告していた。さらにHuntressは、別のAI開発ツールOpenClawを装うGitHubリポジトリがBingのAI検索結果で推奨され、やはりVidarとGhostSocksを配布していた事例を公表している。つまり攻撃者は、AI開発ツールの周辺で「検索結果」「GitHubの見た目」「コピー&ペーストのインストール体験」をまとめて悪用する方法を、すでに磨いていた。Claude Code流出は、その既存の手口に格好の看板を与えたにすぎない。(pushsecurity.com)

では、なぜClaude Codeのようなツールは、ここまで魅力的な標的になるのか。Anthropic公式ドキュメントを見ると、Claude Codeは既定では読み取り中心とはいえ、Bash実行やネットワーク操作、MCPサーバー連携、Hooksによる任意シェルコマンド実行といった強い権限を扱う設計になっている。Anthropic自身も、Hooksは「自動的に任意のシェルコマンドを実行する」ので自己責任で使うべきだと明記し、.envや秘密情報をpermissions.denyで明示的に除外すること、/permissionsで権限を監査することを勧めている。要するに、AIコーディング支援は“便利な補助機能”ではなく、ローカル環境・認証情報・開発フローに深く入り込むエージェントであり、偽インストーラやトロイ化レポジトリに乗っ取られた場合の被害半径が大きい。(docs.anthropic.com)

しかも、Claude Code周辺では、流出以前から「信頼境界の扱い」が難しいことを示す脆弱性が相次いでいた。GitHub Advisory Databaseには、悪意あるgit config user.emailで起動時にコマンド実行を誘発できた件や、sedの解析不備で読み取り専用制約を回避し任意ファイルへ書き込めた件が高深刻度で登録されている。さらにCheck Point Researchは2026年3月、リポジトリ内の.mcp.json.claude/settings.jsonを悪用し、ユーザーがワークスペースを信頼する前にコマンド実行やAPIキー流出を起こしうる問題を報告した。これらは今回の流出そのものとは別件だが、AIコーディングエージェントが「ローカル設定」「リポジトリ設定」「外部ツール連携」をまたぐ以上、小さな設計ミスがすぐ高権限の攻撃面に変わることをよく示している。(github.com)

ここで見えてくるのは、AI開発ツールのサプライチェーン危機が、従来のOSS供給網問題より一段ややこしいということだ。昔ながらの依存関係汚染では、主戦場はパッケージやビルドだった。いまはそれに加えて、インストール手順、検索結果、GitHubのStars/Forks、Release添付、IDE拡張、MCPサーバー、プロジェクト設定ファイルまでが“供給網”に含まれる。しかも同じ2026年3月には、TeamPCPによるTrivy、LiteLLM、Telnyxなどへの供給網攻撃が相次ぎ、WizやZscalerは、信頼されるセキュリティ/AIツールそのものが攻撃ベクター化していると警告していた。Claude Code便乗マルウェアは、その文脈の中で読むべき出来事である。開発者が信じていたのはコードの中身だけではない。検索順位、ブランド、READMEの語り口、そして「みんなが触っているから大丈夫だろう」という空気そのものだった。(wiz.io)

今後の対策は、単に「怪しい実行ファイルを開かない」で終わらない。配布側には、署名付き成果物、由来証明、再現可能なビルド、最小権限の既定設定が求められる。GitHubはartifact attestationについて、暗号学的に由来を示せても、利用者が検証しなければ安全性は得られないと明記している。SLSAも、ソフトウェア供給網の安全性を“測れる水準”として扱う共通言語を提供している。利用側では、公式ドメイン以外のインストール手順を避ける、ミラーではなく本家配布物を使う、検証可能な証明付き成果物を優先する、秘密情報の読取りを権限設定で封じる、未知のリポジトリはVMやdevcontainer内で開く――といった、地味だが実効性のある手順を開発体験の一部として定着させる必要がある。AI開発ツールは今後さらに高権限化していく。その便利さが本物であるほど、配布経路の信頼性は、コード品質と同じくらい重要になる。(docs.github.com)

主な出典
- WIRED「Hackers Are Posting the Claude Code Leak With Bonus Malware」(wired.com)
- Anthropic公式ドキュメント(Security / Hooks / Settings)(docs.anthropic.com)
- BleepingComputer「Claude Code source code accidentally leaked in NPM package」(bleepingcomputer.com)
- The Register「They thought they were downloading Claude Code source. They got a nasty dose of malware instead」(theregister.com)
- Push Security / Malwarebytes / Huntress の関連調査(pushsecurity.com)
- Check Point ResearchおよびGitHub Advisory Databaseの脆弱性情報(research.checkpoint.com)