Booking.comに偽装した「ClickFix」によるサイバー攻撃、ホテル/宿泊 業界を標的に

セキュリティニュース

投稿日時: 更新日時:

Booking.comに偽装した「ClickFix」によるサイバー攻撃、ホテル業界を標的に

ここ最近、ホテル業界を中心に、「Booking.com」を装った非常に巧妙なマルウェア攻撃が確認されています。表面的にはよくある予約に関する連絡メールに見えますが、実はその裏に危険なスクリプトが潜んでいます。
このサイバー攻撃は「ClickFix」と呼ばれる手口を使い、ファイルをダウンロードさせることなく、ユーザーに自らマルウェアを実行させる点が特徴です。

予約に関する連絡 メールに仕込まれた罠

問題の攻撃メールは、見た目はまるで本物のBooking.comから送られてきたような内容になっています。

初期のバージョンでは「お客様対応に関する不具合」など、曖昧な表現が多かったのですが、最近のサンプルでは「宿泊客から連絡が取れず不満の声が上がっている」「24時間以内に対応しなければアカウント停止の恐れがある」など、心理的な圧力をかけてリンクを開かせようとするケースが増えています。

さらに進化したバージョンでは、架空の宿泊客名や予約リクエストを添えて「この内容を確認してください」とリンクを踏ませようとする巧妙な手口も確認されています。

予約に関する連絡 メールに仕込まれた罠

画像:Cofense Intelligence

CAPTCHA画面のように見せかけて、ユーザーにマルウェアを実行させる

メールのリンク先には「認証コードの確認です」といった文言とともに、いかにも正規のCAPTCHA画面のようなページが表示されます。

偽のCAPTCHA画面

画像:Cofense Intelligence

ですが、これがClickFixの正体。実際にはJavaScriptを使って、悪意のあるPowerShellスクリプトをユーザーのクリップボードにコピーさせています

PowerShellを実行させる

画像:Cofense Intelligence

さらにその下には「Windowsキー+Rで実行ウィンドウを開き、Ctrl+Vで貼り付け、Enterを押してください」と、まるで普通の操作手順のように見せかけて、ユーザーにマルウェアを実行させます。

驚くべきは、このスクリプトの末尾に「確認コード:reCAPTCHA ID 15891✅」などのコメントがついており、Runウィンドウ上ではコードの中身が見えず、あたかも「確認コード入力」と錯覚させる工夫までされています。

Runウィンドウ上ではコードの中身が見えず、あたかも「確認コード入力」と錯覚させる工夫

画像:Cofense Intelligence

実際に配布されているマルウェアの種類

このキャンペーンで最も多く確認されているのは「XWorm RAT」という遠隔操作型マルウェアです。全体の53%のケースで使用されており、PCの遠隔操作や情報の収集に使われます。

次いで「Pure Logs Stealer(19%)」「DanaBot(14%)」といった情報窃取型のマルウェアも多く見られ、被害者のブラウザ保存情報や認証情報などが狙われています。

なお、11%のケースでは、RATと情報窃取型マルウェアが同時に配布されるという複合型の攻撃も確認されています。

Windows限定で攻撃対象を絞る巧妙さ

この攻撃は、Windows端末を狙い撃ちしている点も特徴的です。偽のCAPTCHAページは、アクセス元のUser-Agent(ブラウザの識別情報)を読み取り、Windows以外のOSでアクセスした場合は「このサイトはWindows専用です」と表示されるようになっています。これは、スクリプトがWindows用に設計されているためで、標的を明確に絞った手口といえます。

ClickFixの変種-Cloudflareやクッキーバナーを偽装するケースも

ClickFixはBooking.com以外にも、Cloudflareの認証画面を偽装したバージョンや、「Cookieを許可しますか?」というバナーを装った攻撃も確認されています。

ClickFixの変種-Cloudflareやクッキーバナーを偽装するケースも

画像:Cofense Intelligence

後者では、「Accept」ボタンを押すとスクリプトファイルがダウンロードされ、「Cookieの承認のためにファイルを実行してください」と案内されます。ユーザーが「普通のWeb操作」だと思い込んで実行してしまう点が非常に危険です。

セキュリティ担当者が取るべき対策

このような攻撃は、技術的な検知をすり抜けてくるため、エンドユーザーの教育が最も重要です。特に「Windowsキー+R→Ctrl+V→Enter」という操作に誘導されるようなケースは、実質的にユーザーに自らマルウェアを実行させる攻撃であり、従来の「添付ファイル」や「リンク経由のダウンロード」よりもさらに巧妙です。

以下のような対策が求められます

  • Booking.comやその他のサービスを装った不審なメールの啓発と、コマンド実行を指示された場合は実行しないよう社内周知

  • PowerShellの使用制限およびロギング強化

  • ユーザーへの「Runコマンド」操作の禁止

  • クリップボード操作の監視(EDR/XDR導入による)

  • CAPTCHA風の画面でスクリプトを実行させる誘導のパターンを教育

今後、ClickFixを模倣した攻撃が増えることが予想されます。実在ブランドを騙ったメール、偽の認証画面、心理的なプレッシャー──これらが組み合わさった攻撃に対して、「自分で実行させる」という新しい手口に警戒を強める必要があります。

参照

https://cofense.com/blog/clickfix-campaign-spoofs-booking-com-for-malware-delivery