ReliaQuestの研究者による分析によると、ソーシャルエンジニアリング手法「ClickFix」が現在、マルウェア配布において最も多用されている手口だということです。研究者らは2026年3月1日から3月31日にかけてのサイバー攻撃を分析した結果、攻撃者は信頼されたID、デバイス、ツールを悪用するケースが最も多いことを突き止めました。この手法により攻撃者は、通常のユーザー行動に酷似した活動の中に自らの動きを隠すことができ、従来型のペリメーター防御やファイルスキャンによる防御をすり抜けられます。
最も多く使われていた手口はClickFixで、これはユーザーを騙してWindowsの「ファイル名を指定して実行」ダイアログのような、信頼されたシステムダイアログに攻撃者が用意したコマンドやスクリプトを貼り付けさせるというものです。Windowsキー+Rを押すと「ファイル名を指定して実行」ダイアログが起動しますが、ユーザーはITの問題を解決してくれるものだと思い込まされ、提供されたコードをこのダイアログにコピーして実行するよう誘導されます。
具体的な例を挙げると、あるユーザーがウェブサイトを訪問すると、ブラウザに脆弱性があるとか画像の読み込みに失敗したといった内容のポップアップが表示されます。ユーザーはボタンをクリックするよう指示され、それによりコードがコピーされます。続いてそのコマンドを「ファイル名を指定して実行」ダイアログに貼り付けてEnterキーを押すよう求められ、結果としてそのコマンドが実行されてしまいます。他の手口としては、偽のCAPTCHAページを表示し、人間であることを証明するためのテストを完了するにはコマンドを貼り付けて実行する必要がある、とユーザーに伝えるものもあります。このコマンドはPowerShellコードを起動し、マルウェアのペイロードを配信します。
ReliaQuestの研究者の報告によれば、この手法はリモートアクセス型トロイの木馬(RAT)であるNetSupport RATや、ファイルレス型マルウェアのDeeploadの配布に頻繁に使われているものの、それ以外にもさまざまな種類のマルウェアの配布にこの手法が使われていることが確認されています。さらに今回、この手法が初めてMacOSユーザーを標的とした攻撃にも使用され、ブラウザの認証情報、セッションCookie、暗号資産ウォレット、キーチェーンデータを盗み出せるAtomic Stealer(AMOS)を配布していたことも判明しました。
ReliaQuestは各企業に対し、この攻撃手法をセキュリティ意識向上トレーニングプログラムに組み込むことを推奨しています。具体的には、従業員に対して「ファイル名を指定して実行」やターミナル、スクリプトエディターといったダイアログボックスにコマンドを貼り付けないよう注意喚起すること、「ファイル名を指定して実行」機能の使用制限を検討すること、ユーザーによる実行ファイルの実行を制限すること、そしてウェブフィルターを使用してポップアップをブロックし悪意あるウェブサイトへのアクセスを防止することなどが挙げられています。
翻訳元: https://www.hipaajournal.com/clickfix-social-engineering-malware-delivery/