ニュース
ユーザー自身に悪意あるコードを“コピペ&実行”させるサイバー攻撃「ClickFix」
2025年4月9日 06:00
マイクロソフトは、4月3日公開のJapan News Centerの記事において、Booking.comになりすましたフィッシングからの「ClickFix」という攻撃手法について情報を公開した。
ClickFixの手口は「人が問題を解決しようとする傾向を悪用するもの」だと説明されている。偽のエラー画面などを表示して、同時に、解決方法として、このコードを所定の箇所に貼り付けて送信または実行するように、といった指示とともに、悪意のあるコードを提示する。ユーザーに操作をさせることで、既存のセキュリティ機能のチェックをすり抜けてコードを実行できる可能性があることが特徴。
マイクロソフトが説明している事例では、Booking.comになりすまし、宿泊業などをターゲットとして、ゲストの否定的なレビュー、見込み客からのリクエスト、オンラインプロモーションの機会、アカウントの確認など、さまざまな名目でフィッシングメールメールを送信する。
ターゲットがフィッシングメール本文中のリンクをクリックするなどして偽のウェブページを開くと、偽のCAPTCHA画面が表示され、キーボード ショートカットを使用して Windows の「ファイル名を指定して実行」ウィンドウを開き、ウェブページがクリップボードに追加したコマンドを貼り付けて起動するよう指示する。
これがClickFixにあたり、mshta.exe(HTMLアプリケーションを実行するコマンド)を利用して悪意のあるコードをダウンロードし、起動してしまう。利用されるプログラム・コマンドはさまざまで、PowerShellやJavaScript、Portable Executableファイルなどが用いられる例もあるという。
このBooking.comになりすました攻撃キャンペーンは「Storm-1865」と名付けられ、北米、欧州、東南・南アジア、オセアニアを標的にしているという。
マイクロソフトは、このような攻撃への対策として、次のことを推奨している。
送信者のメールアドレスが正規のものか確認する
メールアドレスが正規のものか、メールサービスが初めての送信者ややり取りの頻度が少ない相手だと判断していないかを確認する
サービス提供者に直接連絡する
不審なメッセージなどを受け取った場合には、サービス提供者の公式サイトから、公式の問い合わせフォームを利用して問い合わせる
緊急性を強調した脅迫に注意する
すぐにクリックしてください、すぐに電話してください、すぐに添付ファイルを開いてください、などと、すぐに行動するよう促し、冷静な判断力を失わせようとするメッセージに注意する
リンクにカーソルを合わせてURLを確認する
リンクをクリックする前に、URLが正規のものか確認する。メッセージのリンクを開くのでなく、検索やブックマークなどから相手のウェブサイトにアクセスするのがベスト。
タイプミスを探す
フィッシングメールにはタイプミスを発見できることが多い。また、誘導先にタイポスクワッティング(URLのタイプミスを想定した、偽装先と一部だけ文字を入れ替えるなどしたURL)が使われることもある。
同社ではあわせて、多要素認証の利用、Microsoft Defender for Offnce 365によるリンククリック時の再確認といった緩和策も紹介している。
