ClickFixは進化を遂げ、巧妙なソーシャルエンジニアリングによる攻撃手法から、従来型のセキュリティ対策を上回るほど産業化されたマルウェアエコシステム全体へと変貌しています。組織はこの攻撃に対抗するため、新たなセキュリティソリューションの構築を迫られています。研究者たちは、アンチウイルス(AV)やエンドポイント検知・対応(EDR)ソリューションよりも精度高くClickFixを検出できる構造解析手法にその答えを見出したと考えています。
ClickFixは、ユーザーを騙して自分のコンピューター上で悪意あるコードを手動実行させるソーシャルエンジニアリング手法です。標的となったユーザーには、エラーやソフトウェアアップデート、認証を装ったポップアップウィンドウが表示されます。典型的な攻撃では、被害者にコピー&ペーストを促し、多くの場合PowerShellのコマンドを自分のシステムに貼り付けさせます。ここから実際の悪意ある活動が始まります。被害者がこれを実行してしまうと、有害なコードが動き出す仕組みです。ClickFixは2024年に初めて確認されて以降、その高い有効性から攻撃者の間で急速に広まりました。Reversing Labsの研究者によると、現在ではこの攻撃手法を中心に活発なサイバー犯罪ビジネスモデルが形成されているといいます。
「ClickFixは、従来の防御策が検出対象として想定してきたようなマルウェアの兆候をほとんど示しません」と、本日公開されたレポートは指摘しています。「キャンペーンは短期間で展開され、過去の指標に基づく検出を回避するためにインフラを次々と切り替えています」
実際、ClickFixの実行チェーンは、そのほぼ全体が正規のツールと信頼されたユーザー行動を通じて進行します。
Reversing Labsのレポートによれば、「エンドポイント検知の観点から見ると、ユーザーがPowerShellを起動する行為自体は、ITメンテナンススクリプトを実行している場合でも、Lumma Stealerのドロッパーを実行している場合でも見分けがつきません」とのことです。
これが、従来型のAVやEDRによる防御でこの攻撃を検出するのが難しい理由です。そしてReversing Labsは、YARAベースの構造解析こそが「現時点で最も信頼できる介入ポイントである」とレポートで結論づけています。この手法は、ClickFixのHTML配信メカニズムそのものを標的にするためです。研究者らはまた、企業がClickFix攻撃を検出するための新しいYARAルールをどのように構築・展開できるかについても詳細に解説しています。
ソーシャルエンジニアリングからMaaS(サービスとしてのマルウェア)へ
ClickFixは初期の頃から大きく進化し、この攻撃手法を大規模に拡大させる活況を呈するMaaS(マルウェア・アズ・ア・サービス)経済を生み出しました。完全な攻撃キットは闇市場フォーラムで月額250ドル、あるいは生涯ライセンス(ソフトウェアアップデート込み)で1,800ドルで販売されており、AV回避機能も売りの一つとして宣伝されています。Reversing Labsは「この商品化が参入障壁を引き下げ、キャンペーンの頻度を加速させている」と指摘しています。
「運用面で見ると、ClickFixエコシステムの実行体制は本当に洗練されています」と、Reversing Labsの研究者Toni Dujmović氏はDark Readingに語っています。「専門化されたMaaSツール群、分析に基づくターゲティング、迅速な亜種開発、そしてインフラの機動性を備えています。これは単なる場当たり的な侵入ではなく、本物の高度な技術です」
研究者らによると、Lumma Stealerが最も多く見られるClickFixのペイロードですが、脅威アクターはそれ以外のマルウェアも配信しています。DarkGate、XWorm、AsyncRAT、NetSupport、SectopRATといったリモートアクセス型トロイの木馬(RAT)も、現在ではClickFixのローテーションに組み込まれています。
「ClickFixは元々スティーラー配信の仕組みとして始まりましたが、今では本格的なRATの配信ベクターにまで多様化しています。つまり攻撃者は、いわゆる『かっさらい型』の認証情報窃取から、横方向移動やデータ持ち出しを伴う、持続的でハンズオンキーボード型の侵入へと軸足を移しつつあるということです」とDujmović氏は述べています。
一方、この攻撃パターンはより破壊的な機能を伴いながら進化を続けています。例えば2026年1月、Microsoftは「CrashFix」という亜種を確認しました。これは被害者のブラウザを意図的にクラッシュさせた上で、それを「復旧」させるためと称してソーシャルエンジニアリングの罠を仕掛ける手口です。Reversing Labsによれば、この手法は「従来型のエクスプロイト経路への依存を減らしながら」ユーザーの服従を高める効果があるといいます。
また、NetSecurityが1月に公開した別のレポートでは、エラー修正やCAPTCHAによる人間認証を装ってユーザーに攻撃者提供のコンテンツをコピー・ペースト・実行させる「Fix型」攻撃について詳しく報告されており、この攻撃手法のさらなる進化が示されています。こうした攻撃には、Windows File Explorerを悪用するFileFix、AIツールを標的とするPromptFix、OAuth認証を狙うConsentFixなどが含まれます。
YARAによるClickFix対策
レポートによると、Reversing LabsはClickFixが一般的なセキュリティソリューションを回避する問題への解決策として、ユーザーがコマンドを「ファイル名を指定して実行」やターミナルに貼り付ける前の段階で攻撃を特定するというアプローチを打ち出しました。
この目的のため、研究者らはペイロードそのものではなく誘導ページ自体を読み取る構造的なYARAルールを構築し、4,220億件のサンプルを保有するリポジトリに対して検証を行いました。オープンソースとして公開予定のこのルールは、レポートによると、あらゆるAVエンジンの検出をすり抜けていた少なくとも123件の確認済みClickFixの誘導ページを検出したといいます。
構造的あるいはコンテンツ的な特徴に基づいてマルウェアを識別する目的で広く使われているパターンマッチングフレームワーク「YARA」は、他の手法が及ばない領域で成果を上げています。レポートによれば、その理由は「ペイロードのURLやドメイン、インフラのローテーションにかかわらず、悪意あるコンテンツの一群がどのような特徴を持つかを記述し、そのパターンに合致する限り新しいサンプルを識別できる」からです。
「絶えず切り替わるペイロードにシグネチャを当てようとするのではなく、うまく作られたルールは攻撃チェーンそのものの中で一貫している要素を狙うのです」とDujmović氏は述べています。例えば、ClickFixの誘導ページは、どのペイロードを配信するかにかかわらず、一貫した挙動上の特徴を持っています。具体的には、偽の認証UIを含む基盤となるHTML構造、クリップボードに書き込むJavaScript関数、そしてPowerShellです。こうした挙動の安定性が、ClickFixキャンペーンを確実に検出するための手がかりになると同氏は説明します。
検出手法にとどまらず、組織はさまざまな手段でPowerShellの実行を制限し、Windows Defender Application ControlやAppLockerを通じて環境寄生型バイナリ(LoLBins)の実行を制限し、さらに不審なクリップボード操作や異常な親子プロセス関係を監視することで、システムを堅牢化すべきです。加えて、偽のブラウザアップデートやCAPTCHAページ、偽のITサポート通知を見抜けるよう従業員を教育することも、ClickFix対策に役立つと研究者らは述べています。
翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/clickfixs-ecosystem-demands-new-defense