脅威の状況を一変させている新手の攻撃が登場し、すべてのPCユーザーが警戒すべき局面となった。1年前にはほぼ存在しなかったこの攻撃は、ここ数か月で急増し、危険度ではフィッシングに次ぐ2位に躍り出ている。
問題の攻撃は「ClickFix(クリックフィックス)攻撃」と呼ばれている。画面に表示された手順に従って、技術的トラブルを解消したり、安全なファイルやウェブサイトを開いたり、あるいはポップアップのCAPTCHAで「人間である」と証明したりしようとすると、結果として自分自身の手でPCをハッキングしてしまう仕組みだ。
最新の報告はセキュリティ企業ESET(イーセット)が6月に公表した『Threat Report』(脅威レポート)によるものだ。同社はClickFix攻撃が現在「急増している」としている。ここ数カ月で複数の警告が発せられていることを考えると、これは驚くべきことではない。
しかし、より深刻なのは、これらの攻撃が、少なくとも理論上は検知も回避も非常に容易であるにもかかわらず、依然として無数の被害者を生み出し続けているという事実だ。
ClickFix攻撃の仕組み
ESETは「ClickFix攻撃の最終段階で送り込まれるペイロードは、情報窃取型マルウェア(インフォスティーラー)からランサムウェア、さらには国家が関与するマルウェアまで多岐にわたり、これが多様で強力な脅威となっている」と警告している。この攻撃は様々なオペレーティングシステムを標的とするが、ESETの脅威レポートやProofpointによると、実際に狙われているのはWindowsのコマンドラインツールPowerShellだ。
ClickFix攻撃ではまず、ユーザーにWindowsキー+Rを押して「ファイル名を指定して実行(Run)」ウィンドウを開かせた後、そこにテキストをCtrlキー+Vで貼り付けさてからEnterキーを押させる。貼り付ける文字列がそのまま悪質な場合もあるが、多くは一見無害に見せかけ、背後で本物のマルウェアをダウンロードして実行する。セキュリティ研究者のジョン・ハモンドが、ClickFix攻撃同様のマルウェアでその様子を再現した動画をXで公開しているので、引っ掛からないように見ておくといいだろう。
Well, this was a stupid insomnia project, but... 😂
— John Hammond (@_JohnHammond) September 13, 2024
Playground code is here: https://t.co/GQsVFrYsvy https://t.co/KhdbhTJKxNpic.twitter.com/CQxvTUMuZP
ESETは「2024年末までに、同じソーシャルエンジニアリング手法を用いた攻撃がウェブ上に氾濫した」と報告する。攻撃者はBooking.com(ブッキング・ドットコム)やGoogle Meet(グーグルミート)など人気サービスを模倣した偽サイトを作成し、正規サイトを侵害して偽のブラウザー更新プロンプトやCloudflare(クラウドフレア)認証、reCAPTCHA(リキャプチャ)チェックを表示させるほか、電子メール経由でClickFixページに誘導するリンクをばらまいている。
ClickFix攻撃で騙されると、多数の脅威に晒される
ClickFix攻撃は、最初の誘い文句に騙された場合にデバイスにインストールされる、多数の脅威への単なる入り口に過ぎない。その脅威のリストには、Lumma Stealer、VidarStealer、StealC、Danabotといった人気の情報窃取型マルウェア、VenomRAT、AsyncRAT、NetSupport RATなどリモートアクセス型トロイの木馬(RAT)、MeshAgentのようなリモート監視・管理ツール、HavocやCobalt Strikeといった侵入後の活動(ポストエクスプロイテーション)用フレームワーク、さらには暗号資産マイニングツール、ローダー、クリップボードハイジャッカー」などが含まれる。
まだ心配していないのなら、今すぐ心配を始めるべきだ。これらの攻撃は急速に多様化している。ハッカーは新たな誘い文句を探し出し、何が最も効果的かを試している。また、この攻撃手段は、それぞれ異なるマルウェアを展開する複数のグループに提供されてもいる。最近の攻撃では、「Interlock(インターロック)(旧称Rhysida(ライシダ))ランサムウェア」を展開しようとする試みさえ見られた。
何も入力せず、直ちにプログラムを終了するか強制終了し、その後PCを再起動
どのような表現であれ、もし画面に「Windowsキー+Rを押し、Ctrl+Vで貼り付け、Enterを押せ」といった指示が現れたら、それはハッキング進行中のサインだ。何も入力せず、直ちにプログラムを終了するか強制終了し、その後PCを再起動しよう。ClickFixに引っ掛かった恐れがある場合は、ウイルス対策ソフトでフルスキャンを実施し、重要なアカウントのパスワードをすべて変更し、金融口座の異常も確認すること。
