土曜日, 7月 26, 2025
土曜日, 7月 26, 2025
- Advertisment -
ホームニューステックニュースClickFix とは?──世界で急増する新手のソーシャルエンジニアリング攻撃まとめ #Security - Qiita
テックニュース

ClickFix とは?──世界で急増する新手のソーシャルエンジニアリング攻撃まとめ #Security – Qiita

インモビ運営局
By インモビ運営局
0
0



ClickFix とは?──世界で急増する新手のソーシャルエンジニアリング攻撃まとめ #Security - Qiita

この記事はAIが作成しています。
詳細についてはリンク先を参照してください。

最終更新: 2025-06-07

目次

  1. ClickFix とは
  2. 攻撃フローの概要
  3. 最近の代表的な被害事例
  4. 技術的特徴
  5. 被害を防ぐための対策
  6. 参考資料

ClickFix とは

「システムの不具合を修正(Fix)するにはクリックして指示どおりにコードを実行してください」
…という誘導で 被害者自身 にマルウェアをインストールさせる新手の攻撃手法。

2024 年に観測が始まり、偽 CAPTCHA偽 Cloudflare 認証ダウンロード失敗のエラーページ などを使いながら

  1. 被害者に “Fix” ボタンをクリックさせる
  2. クリップボードに悪意ある PowerShell/bash スクリプトを自動コピー
  3. 「Win+R で貼り付けて Enter」 等の手順を実行させる
    という流れで感染させるのが典型パターンです。
    QakBot・AMOS・Lampion など既存マルウェアの配布チャネルとして広く利用され、近年は 国家支援 APT(Lazarus・APT28 など) も採用しています。

攻撃フローの概要

最近の代表的な被害事例

公開時期 主な標的・被害 使用マルウェア / APT 手口のポイント
2024-12〜2025-03 北米・欧州・中東の医療、建設、政府 QakBot LinkedIn 投稿→偽 CAPTCHA→PowerShell
2025-04 米国大学向け iClicker 正規サイト改ざん 不明(多段ダウンローダ) 偽 CAPTCHA で学生・教員を感染
2025-01〜 Lazarus(北朝鮮)暗号業界求人詐欺 FrostyFerret / GolangGhost 「面接中にカメラ故障」→ドライバ更新を装い OS 別コード提示
2024-10〜 APT28(ロシア)西側政府・NGO 諜報 LOSTKEYS Google スプレッドシート通知→偽 CAPTCHA
2025-02〜 MuddyWater(イラン)中東政府機関 正規 RMM (Level) 悪用 メール本文に PowerShell を直接記載
2025-03〜 グローバル Mac ユーザ Atomic macOS Stealer (AMOS) 2,800 超の改ざんサイト → 偽 Cloudflare 認証 (EtherHiding)

主な被害事例(詳細)

QakBot 復活キャンペーン

  • 時期: 2024-12 〜 2025-03

  • 対象: 北米・欧州・中東(医療 / 建設 / 政府)

  • 流れ

    1. LinkedIn や Discord に “請求書はこちら” “ゲーム MOD” などの投稿リンク
    2. 偽 CAPTCHA ページに遷移し「私はロボットではありません」→ PowerShell を自動コピー
    3. Win+R → コマンド貼り付け → QakBot ローダー DLL をドロップ
    4. 業務ネットワーク内で Cobalt Strike・ランサムウェアへ横展開

  • ポイント: 休眠していた QakBot の復活。DLL サイドロードで EDR 回避、かつ SMTP クレデンシャル窃取も確認。

iClicker 正規サイト改ざん

  • 時期: 2025-04

  • 対象: 米国大学の学生・教職員

  • 流れ

    1. iClicker.com の JS が改ざん → 偽 reCAPTCHA モーダルを挿入
    2. チェックボックスを押すと PowerShell スクリプトがクリップボードへ
    3. 「トラブルシュートのために貼り付けて Enter」指示
    4. 多段ダウンローダで最終ペイロード(情報窃取型)を実行

  • 影響: 学内 SSO 資格情報が漏えいし LMS への不正ログイン被害が散発。CSIRT が 72h 以内にサイトを修復。

Lazarus APT — ClickFake Interview

  • 時期: 2025-01〜(継続中)

  • 対象: 暗号資産・ブロックチェーン関連企業(開発者 / 研究者)

  • 流れ

    1. LinkedIn でリクルーターを騙り、Zoom/Meet でビデオ面接
    2. 面接中に「カメラドライバが故障」と提示 → OS 判定し macOS: bash / Windows: VBS を出し分け
    3. 実行すると FrostyFerret / GolangGhost を取得

  • 目的: 暗号ウォレットの秘密鍵窃取・社内 VPN 侵入。Lazarus お得意の 多 OS 対応 が ClickFix で加速。

APT28(ロシア)による諜報作戦

  • 時期: 2024-10〜2025-02

  • 対象: NATO 加盟国政府、シンクタンク、NGO

  • 流れ

    1. Google スプレッドシート共有通知を装ったメール
    2. 偽 Cloudflare 認証 → PowerShell → LOSTKEYS RAT 投入
    3. SSH トンネルで永続化、.docx や .pst ファイル主体に exfiltrate

  • 特徴: ペイロードは 環境ごとに暗号鍵が変化。サンドボックスでは無効キー → 実環境だけデコード。

MuddyWater(イラン)の RMM 悪用

  • 時期: 2025-02〜

  • 対象: 中東の政府 / 金融 / 教育 / 輸送

  • 手口

    • メール本文にプレーンテキスト PowerShell スクリプトを直接貼付
    • 実行すると正規 RMM「Level」をサイレントインストールし、遠隔操作

  • 狙い: 社内ドキュメントと認証情報を収集。Bring-Your-Own-Tools型でシグネチャ回避。

Atomic Stealer (AMOS) MacReaper 作戦

  • 時期: 2025-03〜

  • 対象: グローバル macOS ユーザ

  • 流れ

    1. 約 2,800 の改ざんサイトに偽 Cloudflare ページを埋め込み(ウォーターホール)
    2. reCAPTCHA 完了で Base64 コマンドをクリップボードへ(EtherHiding テク)
    3. ターミナル貼り付け → 署名付き Mach-O を DL → Atomic Stealer (AMOS) 起動

  • 被害: キーチェーン・ブラウザパスワード・暗号ウォレット情報を大量窃取。
    macOS でも ClickFix が機能する好例。

7. Atomic Stealer (AMOS) Spectrum Typosquat キャンペーン ← New!

  • 時期: 2025-06

  • 対象: macOS / Windows ユーザー(主に米国)

  • インフラ: panel-spectrum[.]net, spectrum-ticket[.]net など Spectrum そっくりのタイポスクワット・ドメイン

  • 流れ

    1. 偽サイトで hCaptcha 検証を装う

    2. 「CAPTCHA verification failed」→ Alternative Verification ボタン

    3. クリックすると コマンドをクリップボードへ自動コピー

      • Windows UA: Win+R → PowerShell
      • macOS UA: shell scriptTerminal 起動 & パスワード入力要求

    4. スクリプトが Atomic macOS Stealer (AMOS) 新亜種 をダウンロードして実行

  • 追加ポイント

    • マルウェア内部に ロシア語コメント、ロシア語圏アンダーグラウンドで販売の痕跡
    • Linux UA でも PowerShell コマンドをコピーするなど 実装ミス が散見(CloudSEK 調査)
    • 複数プラットフォームの説明文で “Press Windows Key + R” を共通表示するなど 急造インフラ の特徴あり

  • 影響: macOS のキーチェーン・ブラウザパスワード・暗号ウォレット情報を窃取。ClickFix 手口の 検証疲れ(Verification Fatigue) を巧みに突く。

技術的特徴

  • ユーザー操作の強制: 管理者権限昇格不要。エンドユーザーが自らコードを実行。
  • マルウェア非同梱: スクリプト実行時に外部 C2 からペイロードを取得(静的検知を回避)。
  • 多段ロード: BAT/VBS → PowerShell → DLL または Mach-O 等、複数段で検知を逃れる。
  • 改ざんサイト/Typosquatting: 正規サイトをハックしてウォーターホール攻撃を行うケース多数。
  • マルチ OS 対応: UA 判定で bash / zsh、AppleScript なども提示し macOS・Linux を狙う。

被害を防ぐための対策

レイヤ 具体策
* 「Web やメールが提示するコードは絶対に実行しない」文化の徹底
* ClickFix 事例を含む啓発・フィッシング訓練を実施
端末 * PowerShell / AppleScript の実行ポリシーを制限
* Win+R やターミナル起動の監視・EDR ルール化
ネットワーク * DNS フィルタ、SWG で悪性/疑わしいドメインをブロック
運用 * IOC・YARA ルールを随時更新し EDR/SIEM に即反映
* 早期報告フローを整備(画面キャプチャ+URL 提出など)		 
# 例: “Invoke-WebRequest” を監視する簡易 AMSI ルール
if ($psCmdLine -match "Invoke-WebRequest" -and $ParentProcess -eq "explorer.exe") {
    Write-EventLog -LogName 'Security' -Source 'AMSI' -EventId 1337 `
      -Message "Suspicious IWR from Explorer: $psCmdLine"
}

参考資料

免責: 本記事は公開情報を基に執筆した技術解説です。実運用への適用や検証は自己責任でお願いします。





Source link

Views: 0

前の記事
「自信満々男子の心が折れやすい?テストステロンの秘密」
次の記事
「TWISTURA、ウッドドーム搭載の自然音イヤホン」
RELATED ARTICLES

返事を書く

あなたのコメントを入力してください。
ここにあなたの名前を入力してください

- Advertisment -

ABOUT US

inmobilexion(インモビ)は、動画・ニュース・サイト紹介を中心に、信頼性の高い情報をわかりやすくお届けする情報プラットフォームです。 「in-mobile」×造語の"〜xion"から生まれたインモビは、厳選・接続・導線など多様な意味を内包しながら、次世代の情報体験を提案します。

Contact us: [email protected]

FOLLOW US

© インモビ by inmobilexion.com