ClickFix攻撃と呼ばれる非常に巧妙なオンライン脅威が、最近の報告でその使用が517%も急増していることが明らかになり、サイバーセキュリティ業界で深刻な懸念を引き起こしています。人的リスク対策企業Fable SecurityのAIデータサイエンティスト、Kaushik Devireddy氏は、この脅威について特別な発見をし、Hackread.comに共有しました。
Devireddy氏の調査によると、ハッカーは一般的に単純なコピーペーストのトリックと理解されているこの手法を悪用し、偽のChatGPT Atlasインストーラーを配布して、人々にパスワード窃取ソフトウェアを自分のコンピューターで実行させるよう仕向けています。
ClickFix脅威の進化
参考までに、ClickFix攻撃はソーシャルエンジニアリングの一種で、単なるメール詐欺ではなく、正規に見えるクローンサイト上でユーザーを騙す手口です。
Hackread.comはこの脅威の進化を継続的に報道しており、2024年5月にこの手法が登場したことを伝え、2025年4月までには、イラン(TA450)、北朝鮮(TA427)、ロシア(TA422)などの国の政府支援ハッカーグループが諜報活動で利用していると報告しています。
今年は、ClickFix攻撃の標的は、iClickerのような人気の学生向けプラットフォームや、AnyDeskのようなリモートアクセスツール、Google Meetのような広く使われる会議サービス、そして現在はChatGPT Atlasにまで拡大しています。
偽サイトの罠
最新のClickFix攻撃について、Devireddy氏はChatGPT Atlas AIブラウザの偽インストーラーサイトに実際に遭遇しました。その模倣はレイアウト、デザイン、テキストまでほぼ同じで、唯一の小さな手がかりはドメインアドレスだけでした。Devireddy氏が指摘する通り、「唯一の微妙な違いはドメイン、つまりGoogle SitesのURLだった」ということです。Googleが非常に信頼できるという一般的な思い込みが、偽の安心感を与え、この攻撃の成功率を高めています。
ビデオプレーヤー
コマンドラインの罠
Devireddy氏は自身のブログ記事で、この種の攻撃がサイトのクローン作成、信頼されたホスティング、難読化されたコマンド、権限昇格という危険な組み合わせを利用していると述べています。本当の危険は、偽サイトがユーザーに暗号のようなテキストをコピーしてパソコンのコマンドライン(ターミナルなど)に貼り付けるよう求めるときに始まります。これは「多くの人、特に好奇心旺盛だったり急いでいるユーザーが従ってしまうポイント」であり、まさに攻撃者が狙っている部分です。
一見無害に見えるこのコマンドは、実はリモートスクリプトを密かに実行し、正しいパスワードが入力されるまでユーザーに何度もパスワードを尋ねます。パスワードが盗まれると、スクリプトはそのパスワードを使って権限昇格、つまり管理者権限(macOSシステムでのsudoコマンド使用)を取得します。これにより、悪意あるプログラムは通常のユーザーアカウントから完全な制御権限を持つアカウントへと移行し、好きなことができるようになります。
さらに調査したところ、このソーシャルエンジニアリングとユーザーによる実行許可の組み合わせは非常に効果的で、CrowdStrikeやSentinelOneのような強力なセキュリティツールさえも回避できることが分かりました。被害者にならないためには、何かを検索して間違ったリンクをクリックするだけで危険にさらされることを忘れず、ウェブサイトから指示されたコマンドライン操作は絶対に実行しないようにしましょう。
翻訳元: https://hackread.com/fake-chatgpt-atlas-clickfix-steal-passwords/
