投稿者 global-ai-media 
Anthropic社のClaudeが提供する人気機能「Artifacts」が悪用され、Macを標的とした情報窃取マルウェアの配布経路となっていることが報告されました。信頼性の高いAIプラットフォームのドメインを利用した新たな攻撃手法の仕組みと、日本企業がとるべきセキュリティとガバナンスのバランスについて解説します。
信頼されるドメインが悪用される「Living off the Trusted Site」
生成AIの活用が急速に進む中、AIプラットフォーム自体を攻撃のインフラとして利用する事例が出現しています。今回の事例では、Anthropic社のLLMであるClaudeの「Artifacts(アーティファクト)」機能が悪用されました。Artifactsは、AIが生成したコードやアプリケーションをプレビュー・共有できる便利な機能として、開発者や実務者の間で広く利用されています。
攻撃者はこの機能を悪用し、Claudeの正規のインフラ上に悪意のあるコンテンツを作成・公開しました。セキュリティ業界で「Living off the Trusted Site(信頼されたサイトへの寄生)」と呼ばれるこの手法の最大の問題点は、URLが「正規のAnthropic社のドメイン」であることです。多くの企業のセキュリティフィルターやファイアウォールは、業務活用が進むClaudeのドメインを「安全」としてホワイトリストに入れているため、従来の検知網をすり抜けてしまうリスクがあります。
「ClickFix」戦術とソーシャルエンジニアリングの巧妙化
今回の攻撃では、「ClickFix」と呼ばれるソーシャルエンジニアリングの手法が組み合わされています。具体的には、ユーザーがArtifactsで作成されたページにアクセスした際、「ソフトウェアにエラーが発生しました。修正するにはここをクリックしてください」といった偽のエラーメッセージを表示し、PowerShellやターミナルコマンドを実行させるよう誘導します。
日本のビジネス現場では、業務効率化のためにSaaSやWebベースのツールを利用する機会が増えており、ブラウザ上で「更新」や「修正」を促されることにユーザーが慣れてしまっている現状があります。「AIが生成した(あるいはAIプラットフォーム上の)コンテンツだから安全だろう」という心理的な隙(ハロー効果)を突いた攻撃であり、技術的な脆弱性よりも、人の心理を標的とした攻撃と言えます。
日本企業のAI活用における「新たなセキュリティ境界」
日本国内でも、ChatGPTやClaude、GeminiといったLLMを全社的に導入する企業が増えています。これまでは「AIに入力するデータ(機密情報の漏洩)」にリスク管理の焦点が当てられてきましたが、今後は「AIから出力される、あるいはAI経由で提供されるコンテンツの安全性」にも目を向ける必要があります。
特に、日本の組織文化として、一度「承認済みツール」として認定されたサービスに対しては、ユーザーの警戒心が極端に下がる傾向があります。ベンダー側も対策を講じていますが、Artifactsのような「ユーザーが自由にコンテンツを公開できる機能」を持つツールは、本質的にファイル共有サービスと同様のリスクを孕んでいます。利便性を損なわずに、いかにガバナンスを効かせるかが問われています。
日本企業のAI活用への示唆
今回の事例を踏まえ、AI活用を推進する日本企業のリーダーやIT管理者は、以下の3点を意識して対策を進めるべきです。
1. 「信頼済みドメイン」への過信を見直す
正規のAIサービスのドメインであっても、そこに含まれるコンテンツが100%安全とは限りません。エンドポイントセキュリティ(EDRなど)を強化し、ドメインベースの許可だけでなく、不審なスクリプト実行や挙動を検知できる体制を維持することが重要です。
2. セキュリティ教育のアップデート
従来の「怪しいメールのリンクを開かない」という教育に加え、「業務ツール上の画面であっても、クリップボードへのコピーやコマンド実行を促す表示には警戒する」という具体的なシナリオを教育に盛り込む必要があります。特にAI生成コンテンツに対する批判的思考(クリティカルシンキング)を持つことは、ハルシネーション対策だけでなくセキュリティ対策としても有効です。
3. 利便性と統制のバランスの再設計
リスクがあるからといって、Artifactsのような有用な機能を全面的に禁止することは、DX(デジタルトランスフォーメーション)の停滞を招きます。例えば、「社内ネットワークからは特定の操作を制限する」あるいは「サンドボックス環境でのみ実行を許可する」といった、リスクベースのアプローチで運用ルールを策定することが推奨されます。