検索
特集/連載

インフォスティーラーの流行に「ClickFix」が影響? その厄介な手口と対策とは古典的だが対策が困難な手口

証券口座への不正アクセスの一因とされるインフォスティーラー。その感染手段として浮上した「ClickFix」とは何なのか。その具体的な手口や対策を解説する。

[山根厚介,雨輝ITラボ(リーフレイン)] PC用表示 関連情報
Share
Tweet
LINE
Hatena

関連キーワード

セキュリティ | セキュリティ対策


 2025年、証券口座の不正アクセス被害が全国的に広がった。楽天証券、SBI証券、野村証券など複数の証券会社で、顧客アカウントの乗っ取りによる不正売買が発生。金融庁の統計によると、証券会社のインターネット取引サービスにおける、同年1〜8月の不正アクセス件数は約1万5400件、不正取引件数は8700件超に上った。こうした不正アクセスに、攻撃者は「インフォスティーラー」という情報窃盗に特化したマルウェアを活用しているとみられる。

 インフォスティーラーは、どのような経路で感染するのだろうか。その一つだと考えられているのが「ClickFix」という攻撃手法だ。ClickFixは少なくとも2024年初頭には存在していたとみられており、従来のセキュリティ対策では防ぐことが難しい特徴を持つ。

 本稿はClickFixの概要や手口、そして具体的な対策を解説する。

ClickFixとは

 ClickFixは「ソーシャルエンジニアリング」の要素を取り込んだ攻撃手法の一種だ。ソーシャルエンジニアリングとは、人間の心理的な脆弱(ぜいじゃく)性を突いて情報を引き出す攻撃手法を指す。

 ソーシャルエンジニアリングの例としては、うそをついて認証情報を聞き出す「プレテキスティング」、肩越しに入力を盗み見る「ショルダーハッキング」、廃棄機器や書類から情報を得る「ダンプスターダイビング」などがある。ソーシャルエンジニアリングは必ずしも電子的な手段に頼らず、PCの普及よりも前から存在する古典的手法だ。

ClickFixの基本的な手口

 ClickFixは標的とするエンドユーザー(以下、標的)をだまして、正規の操作で有害な命令を実行させる。例えば標的がMicrosoftのクライアントOS「Windows」の搭載PCを使用している場合、そのPCに何らかのエラー画面を表示。標的が困っているところに偽の「解決方法」画面を提示し、以下のような手順での操作を促す。

  1. 「Fix」(修正)ボタンをクリックしてください
    • この操作によって悪意のあるスクリプトがクリップボードにコピーされる。
  2. 「Windows」キーと「R」キーを同時押ししてください
    • この操作によって「ファイル名を指定して実行」のダイアログボックスが開く。
  3. 開いたウィンドウ内で「Ctrl」キーと「V」キーを同時押ししてください
    • この操作によって、ファイル名を指定して実行の「名前」欄に、悪意のあるスクリプトが入力される。
  4. 「Enter」キーを押してください
    • この操作によって悪意のあるスクリプトが実行されてしまう。

 標的が上記の手順を踏むと、悪意のあるスクリプトはWindowsのコマンドラインインタフェース「PowerShell」を起動させ、インフォスティーラーなどのマルウェアを実行する。実際の操作は標的自身が実行することから、従来のセキュリティツールは脅威として検出しにくい。この特徴が、ClickFixを危険な存在にしている。

 ちなみにClickFixという名称は、攻撃者が標的にクリックを促す偽画面中のボタンに、「Fix」「Fix it」(修正する)などのラベルを使うことがよくあることに由来する。

 ClickFixの手口は多岐にわたる。原稿執筆時点で確認できている例は以下の通りだ。

  • 「Webページが表示できない」と通知し、偽の解決策を提示する
  • 偽の「CAPTCHA」(人間の操作か否かを判定する仕組み)を表示する
  • メールの添付ファイルの開封時にエラーを表示し、その後に偽の解決策を提示する
  • Web会議ツールの利用時に「マイクやカメラに異常がある」と通知し、偽の解決策を提示する

 インフォスティーラーの被害が広がる中、その感染経路の一つとみられるClickFixへの警戒は怠れない。Proofpointなどのセキュリティベンダーは、北朝鮮やイラン、ロシアなどの攻撃者グループによるClickFixの利用を観測したと報告している。今後はさらに洗練された手口で、ClickFixの被害が拡大する懸念がある。

ClickFixへの対策

 ClickFixへの対策として、まずは基本的な注意が欠かせない。セキュリティ担当者は、不審なメールやポップアップなどを開かないように、従業員に注意を促すことが重要だ。PowerShellが不要な部署では、使用の制限を検討するとよい。

 セキュリティツールによるClickFix対策としては、「EDR」(エンドポイント脅威検知・対処)ツールなどのエンドポイントセキュリティツールだけでは十分とはいえない。エンドポイントセキュリティツールは、プログラムの不審な挙動の検出に有効ではあるものの、ClickFixのように標的の正規操作を悪用する手口には限界があるからだ。

 ClickFixの典型的な攻撃経路にメールがあることから、フィッシング対策などのメールセキュリティツールは見直しの価値がある。Menlo Securityのセキュアブラウザ「Menlo Secure Cloud Browser」は、メールのリンクや添付ファイルを同社のクラウドインフラで隔離・検証し、安全なコンテンツのみをエンドユーザーに届けられるようにする。イスラエルのResecが開発し、インテリジェントウェイブが国内で提供するコンテンツ無害化(CDR:Content Disarm and Reconstruction)ツール「Resec」は、受信ファイルを分解・再構築して、危険要素を除去した複製ファイルを生成する。

 今後、ClickFixの手口は変化する可能性がある。動向を注視し、適切なセキュリティツールを選択することが重要だ。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る