検索結果のトップが「本物」とは限らない──AI偽インストーラーとMinecraft偽MOD事件
Google検索のトップに「本物そっくり」の偽サイトが並ぶ──2025年3月から続くMinecraft偽MOD事件、2026年3月に発覚したClaude AI偽インストーラー事件は、どちらも同じ手口だ。情報窃取マルウェア「インフォスティーラー」は派手にPCを壊さず、静かにパスワード・Cookie・ゲームアカウントだけを抜き取る。本記事では2つの事件の共通点と、家庭・学校で今日からできる5つの見分け方を整理する。
「Claude Code」「Minecraft MOD」──検索結果のトップに出てきたから、本物だと思って入れた。
それが、パスワードもCookieも全部抜かれる入り口だった。
2025〜2026年にかけて、AIツールやゲームMODを装った「偽インストーラー」事件が世界中で続発している。共通点は、検索広告とGitHubを悪用した「本物そっくり」の入り口だ。
🟨 この記事のポイント(1分で理解)
- Google検索の広告枠に、AIツール「Claude Code」やゲーム用MODの本物そっくりの偽サイトが並ぶ事件が続発している
- クリックしてコマンドを実行・ファイルを開くだけで、ブラウザ保存のパスワード・Cookie・ゲームアカウントが丸ごと盗まれる
- 2025年3月以降のMinecraft偽MOD事件では、感染端末からDiscordトークン・暗号資産ウォレットも盗まれた
- 2026年3月のClaude Code偽インストーラー事件では、検索広告経由で情報窃取マルウェア「Amatera Stealer」が配布された
- 家庭・学校でできる対策は「検索結果をうのみにせず、公式ドメインを確かめる」が最重要
2026年3月、Claude Code偽インストーラー事件で実際に起きたこと
2026年3月、セキュリティ企業 Push Security が、AI開発支援ツール「Claude Code」のインストールページをほぼ完全に複製した偽サイトがGoogle検索の広告枠から配布されていたと公表した。「Claude Code」「Claude Code install」などで検索すると、本物の公式ドキュメントより上に偽サイトの広告が表示される仕組みだ。
▼ 検索結果の上から順番に並ぶもの
偽サイト①(お金を払えば誰でも出せる)
偽サイト②
広告枠は 掲載順位=信頼性 ではない。料金を払った順に並ぶ。広告そのものが危険なのではなく、「広告だから上位=安全」と思い込むことが危険だ。
利用者が偽ページに書かれたインストールコマンドをコピーして実行すると、正規のスクリプトではなくマルウェア取得処理が走り、最終的に 「Amatera Stealer」 という情報窃取マルウェアに感染する。ブラウザに保存されたパスワード、Cookie、セッショントークン、システム情報などが攻撃者のサーバーに送られる。
さらに同月末、Anthropic社自身のパッケージングミスでClaude Codeのソースコード約51万行がnpmに誤公開される事件が起き、その流出から24時間以内に「流出したClaude Code」を装う偽GitHubリポジトリが立ち上がり、別系統の情報窃取マルウェア「Vidar」「GhostSocks」が配布された。話題のインシデントを「釣り餌」として即座に悪用する手口だ。
なぜ重要なのか
これは「最新AIツールを使うエンジニアだけ」の話ではない。同じ手口は、子どもが日常的に触れているMinecraftのMODやチートにも、もう何年も前から使われている。
セキュリティ企業 Check Point Research が 2025年3月から追跡 しているマルウェア配信ネットワーク「Stargazers Ghost Network」は、Minecraftのチートツール(Oringo、Taunahi、Skyblock Extras など)を装った偽MODをGitHubで配布し続けてきた。確認されているだけで 500以上の悪意あるGitHubリポジトリが動員され、1,500台以上の端末が感染している。
感染端末から抜き取られるものは、Minecraftのアカウントトークン、Discord・Telegramの認証情報、ブラウザ保存パスワード、VPN設定、暗号資産ウォレット、スクリーンショット、クリップボードと極めて広い。家族共用のPCで起きれば、子どものMinecraftアカウントだけでなく、保護者のオンラインバンキングやSNSのCookieまで一緒に持っていかれる。
なぜ引っかかってしまうのか
これだけ手口が知られているのに被害が止まらないのは、攻撃者が 「人が無意識に持っている安心の理由」 をひとつずつ潰しているからだ。
- 検索の上位に出てきたから安全だと思う──Google検索の最上部は信頼の代名詞のように扱われている。でも、その「最上部」には広告枠が混じる
- みんな使っているから安全だと思う──GitHubのStar数、ダウンロード数、レビューはどれも偽装が可能
- 「無料」「限定」「リーク」の文字に弱い──人気ツールが無料で手に入る、と書かれていると判断力が下がる
- GitHubやGoogleの中なら安全だと思い込む──大手プラットフォームは「箱」を提供しているだけで、中身の安全を保証しているわけではない
攻撃者はこの4つの思い込みを 狙って設計している。「上位だから」「人気だから」「無料だから」「Googleの中だから」──このどれかで判断していたら、すでに罠の射程圏内にいると考えたほうがいい。
さらに踏み込めば、本物の公式リポジトリや配布サイトでも、開発者アカウントが乗っ取られて悪意ある更新が混入するケースはある。実際2026年3月にも、JavaScript ライブラリ axios のメンテナーアカウントが乗っ取られ、正規のnpm配布物にRAT(遠隔操作マルウェア)が混入する事件が起きた。「公式だから絶対安全」ではなく、違和感を感じたら立ち止まる習慣のほうが、より長く効く防御になる。
偽インストーラー事件に共通する手口とは
Claude事件もMinecraft事件も、手口の本質は同じだ。正規サイトの見た目を完全コピーした「入り口」を、正規サービス(Google広告、GitHub)の中に紛れ込ませる。攻撃者は数千個の偽GitHubアカウントでリポジトリにStarを付け回したり、Cloudflare Pages などのまっとうなホスティングを使うことで、URLや表示だけでは見破れないようにしている。
そして配布されるマルウェアは、ひとくくりに 「インフォスティーラー(情報窃取マルウェア)」 と呼ばれる種類のものだ。映画のように「PCを壊す」「脅迫文を出す」派手さはなく、静かにバックグラウンドで動き、認証情報だけを抜いて何事もなかったように終了する。本人は気づかず、後日「身に覚えのないログイン」「乗っ取られたDiscord」のかたちで被害が顕在化する。これが現代のマルウェアの主流のひとつだ。
家庭・学校でできること
- 検索結果をうのみにせず、公式ドメインから入る──Claude/ChatGPT/Minecraft/Forge/CurseForgeなど、頻繁に使うツールは事前に公式ドメイン名を確認し、可能ならブックマーク経由で開く。検索結果のうち「広告」「スポンサー」と表示された枠は特に慎重に
- 子どもが「無料で見つけた」と言ったら一緒に確認──ダウンロード元のドメインが公式かどうか、URLバーまで一緒にチェックする
- 家族共用PCでは「子ども専用アカウント」を分ける──子ども用のWindows標準ユーザーアカウントを作っておけば、感染しても保護者の業務アカウントまでは抜かれにくい
- MinecraftのMODはCurseForge・Modrinthからのみ──GitHubの「Star数」は偽装可能。「YouTuberが紹介していた」「Discordで教えてもらった」は信頼の根拠にならない
- 「ソースコード」「リーク版」「クラック版」の.exeや.zipは極めて危険──正規ソフトはそうしたかたちでは配布されない
🚨
もし入れてしまったら
「もしかして踏んだかも…」と気づいた時点で、被害を最小化するためにできることがある。順番が大事なので、上から実行してほしい。
- すぐにそのPCをインターネットから切断する(Wi-Fiオフ、有線LAN抜く)──マルウェアがデータを送信し続けるのを止める
- 別の安全な端末(スマホ・別のPC)から、Google・Apple・Microsoft・Discord・Minecraft・SNSなど主要アカウントの パスワードを変更 する
- 同じく別端末から、各アカウントの 「すべての端末からログアウト」(セッション無効化)を実行する
- 二段階認証を設定していなかったアカウントは、この機会に有効化する
- ブラウザに保存していたパスワードは一度全部消し、必要なものだけ新しいパスワードで入れ直す
- 感染した可能性のあるPCは、可能であれば OSのクリーンインストール を検討する(ウイルス対策ソフトのスキャンだけでは取りきれないことがある)
- 保護者・学校の先生・詳しい大人に状況を共有する。隠さないことが被害拡大を止める最大のポイント
被害がもう発生している(身に覚えのないログイン、アカウント乗っ取り、不正な決済など)場合は、警察庁サイバー警察局やIPA情報セキュリティ安心相談窓口に相談を。
👋
中高生のみんなへ
マイクラのチートやMOD、新しいAIツール、Discordの便利な拡張──「無料で配布してます」って書いてあると、ちょっと試したくなるよね。
でも、ここで紹介した事件はぜんぶ「無料で配布」って書いてあるものだった。しかも、検索すると一番上に出てくる。Googleの検索結果の上のほうにあるから安全、というのは思い込みなんだ。「広告」と書かれている枠は、お金を払えば誰でも出せる。
なにが盗まれるのか
ニセのインストーラーやMODを一度実行すると、PCの中からマイクラのアカウント、Discord、ブラウザ保存パスワード、ログインしたまま状態を保つ情報(Cookie)、ゲーム内通貨、暗号資産まで、ぜんぶ静かに抜かれる。
Cookieが盗まれると、パスワードを知らなくても ログイン済みの状態をそのまま乗っ取られる──これが一番こわい。
怖いのは、感染しても画面には何も起きないこと。気づいたときには、もう自分のDiscordから友達に変なリンクが送られていたりする。
どこから入れたら安全なのか
マイクラのMODやチートを入れたいときは、CurseForgeやModrinthなどの公式プラットフォームを使う。GitHubは本来、開発者向けのサービスで、コードの中身を自分で確かめられる人向け。「Starの数が多いから安全」は通用しない──Starは偽装できるから。
新しいAIツールやアプリも同じで、検索で出てきた一番上の「広告」ではなく、開発元の公式サイトを直接たしかめる。「公式」と書いてあるかではなく、「URLが公式そのもの」かどうかで判断する。
覚えておいてほしいこと
「無料」「人気」「Star数が多い」は、安全の根拠にならない。
ダウンロードする前に、一度だけ自分に聞いてみてほしい──「これ、本当に公式から落としてる?」
迷ったら、入れる前に大人や詳しい友達に画面を見せて確認しよう。入れた後では遅い。
💬 友達や家族と話してみよう
最近マイクラやDiscordで「便利なツールあるよ」と教えてもらったことはある?それは誰が、どこで配布しているもの?一緒に公式ドメインかどうかを調べてみよう。
✔
ダウンロード前のチェックリスト
スクショして保存しておくのがおすすめ。新しいツール・MOD・アプリをダウンロードする前に、以下の5つを自分に問いかけてみよう。
-
① これ、検索の「広告」枠から来ていない?
Googleの検索結果の最上部にある「広告」「スポンサー」と書かれた枠は、誰でも料金を払えば出せる。公式より上に偽サイトが並ぶことがある。 -
② URLは公式ドメインそのものか?
「claude-ai-download.com」「minecraft-mods-free.net」「discord-nitro-gift.net」のような“それっぽい別ドメイン”は危険信号。公式のドメイン名を事前に調べておく。 -
③ 「.exe」「.7z」で配布される“ソースコード”や“リーク版”ではないか?
正規のソフトウェアはソースコードや公式SDKを実行ファイル単体で配布しない。「リーク」「クラック」「無料化」などの煽り文句は罠の合図と考えてよい。 -
④ Minecraft MODなら、CurseForgeかModrinthから入れたか?
GitHubの「Star数」「人気」は偽装可能。MODは必ず公式配布プラットフォーム経由で入れる。 -
⑤ 入れる前に、家族か詳しい友達に一度見せたか?
第三者の目が入るだけで、踏みそうな罠の8割は防げる。入れた後では遅い。
「無料」「人気」「Star数」は安全の根拠にならない。
公式ドメインを、自分の目で確かめてから入れよう。
関連情報・参考リンク
このニュースについて、さらに詳しく知るための情報です。
📰 元記事・関連ニュース
-
🔗セキュリティ対策Lab
Google広告経由でClaude Codeの偽インストールページを配布(2026年3月11日) -
🔗Trend Micro リサーチ
Claude Codeの誘引とGitHubリリースを悪用したペイロード(2026年4月7日) -
🔗Check Point Research(英文)
Stargazers Ghost Networkを通じて配布される偽Minecraft MOD(2025年6月18日) -
🔗セキュリティ対策Lab
Minecraftユーザーを狙う分散型マルウェア:GitHub上の偽Modが個人情報を窃取(2025年6月)
📖 関連する公的機関・相談窓口
🔗 netliteracy.jp 関連記事
ℹ️ 外部リンクは新しいタブで開きます。記事が削除されている場合があります。
