Opera、ClickFix攻撃対策の新機能「Paste Protect」を導入

Operaは、ソーシャルエンジニアリングによって悪意あるコマンドを実行させるClickFix型攻撃をブロックするセキュリティ機能「Paste Protect」を導入しました。

ClickFixは、被害者を騙して危険なコードやコマンドをクリップボードにコピーさせ、コマンドラインインターフェースで実行させる、広く使われている手口です。

通常、この手口では確認作業や、何らかの問題解決手順を装いますが、その目的はあくまでターゲットに危険な操作を行わせることにあります。

コマンドはユーザーの権限で実行されるため既存のセキュリティ対策を回避してしまい、多くの場合、情報窃取型マルウェアの感染につながります。

この手法は脅威アクターの間で非常に人気があり、Appleも最近、対抗策を導入しました。これはターミナル内での危険なペーストを検知し、ユーザーに警告する前にブロックするために特化したセキュリティ機能です。

OperaのPaste Protectも同様のアプローチを取っており、有害なコマンドがブラウザのクリップボードにコピーされる前にブロックします。

この新しいセキュリティ機構は、2021年に導入された「Hijack protection」と、新たに追加された「Injection protection」というコンポーネントを組み合わせて機能します。Hijack protectionは、外部アプリケーションがコピーされたコンテンツ(URLや銀行口座番号など)を悪意あるものに置き換えようとする試みを検知できます。

Injection protectionは、ユーザー自身の操作であれ、訪問先のウェブサイトによる操作であれ、潜在的に有害なコマンドがクリップボードに到達する前にブロックします。

Operaによると、Windows、macOS、Linuxに対応するプラットフォーム別の検出ルールを用いて、コピーされたコンテンツを悪意あるスクリプトやコマンドによく見られるパターンについてスキャンするとしています。

Paste Protectが不審なクリップボードの内容を検知すると、コピー操作をブロックして警告を表示し、ブラウザのアドレスバーに赤いセキュリティインジケーターを表示します。

「脅威の可能性が検出されると、コピー操作は自動的にブロックされます」とOperaは説明しています

「何が起きたかを説明するポップアップが表示され、アドレスバーには赤い警告アイコンが表示されます」

このような場合、ユーザーはブロックされたスクリプトの最初の120文字を確認でき、5秒間のタイムアウトの後にコピーを承認することも可能です。

Image

ユーザーは信頼できるウェブサイトを許可リストに登録するオプションも利用でき、Operaの新しいセキュリティシステムによる繰り返しのブロックで生じる煩わしさを最小限に抑えられます。

「もし自分のしていることをきちんと理解しているのであれば、例えばGitHubのような信頼できるソースから日常的にスクリプトやコマンドをコピーする開発者であれば、ポップアップで『このサイトからは常に許可する』を選択することで、スクリプトのコピーを許可する信頼済みサイトを設定することもできます」とOperaは説明しています。

Paste Protectは最新のOperaリリースでデフォルトで有効になっており、ユーザーは設定 → プライバシーとセキュリティ → Paste Protectから管理できます。

一般的な推奨事項として、ユーザーは内容を完全に理解していないままネット上で見つけたコマンドを実行することを避け、こうしたプロンプトはすべて疑ってかかるべきです。

攻撃者に先んじて、すべてのレイヤーをテスト

セキュリティチームが記録できているのは成功した攻撃の54%にとどまり、アラートが発せられるのはわずか14%です。残りは環境内を検知されないまま通過しています。

Picusのホワイトペーパーでは、侵害・攻撃シミュレーションによってSIEMやEDRのルールをテストし、脅威が検知をすり抜けるのを防ぐ方法を紹介しています。

ホワイトペーパーを入手する

翻訳元: https://www.bleepingcomputer.com/news/security/opera-rolls-out-paste-protect-feature-to-fight-clickfix-attacks/

ソース: bleepingcomputer.com