はじめに:巧妙化するClickFixキャンペーン
Facebookユーザーを標的とした新たなClickFixキャンペーンが確認されました。このキャンペーンは、ソーシャルエンジニアリングを駆使し、偽の認証ページを利用して被害者のブラウザから直接ライブセッション情報を詐取するものです。従来のソフトウェア脆弱性を悪用するフィッシングとは異なり、この攻撃はアカウント認証と偽装した誘導型の認証情報窃取プロセスを通じて行われます。
研究者たちは、この攻撃チェーン全体で115のウェブページと、主にクリエイター、収益化されたページ、認証バッジを求めるビジネスを標的とした8つの異なるデータ流出エンドポイントを特定しました。
攻撃の手口:誘導とセッション情報窃取
キャンペーンは、無料の認証バッジやアカウント復旧支援を謳う偽のFacebook認証ページや異議申し立てページから始まります。被害者は、正当性を信じ込ませるアニメーション表示の認証シーケンスを提示された後、偽の「Facebook Blue Tick Center」を装ったセカンドステージのページにリダイレクトされます。
このセカンドステージでは、攻撃者は被害者に対し、ブラウザの開発者ツールやクッキー貯蔵領域からセッショントークン(c_user値とxs値)を抽出する方法を具体的に指示する動画を提供します。被害者がこれらのセッション認証情報を提出すると、リアルタイムのJavaScript検証が行われ、有効なFacebookトークンのみが受け付けられるため、攻撃者側のノイズが減少します。検証されたトークンは、submit-form[.]com、Formspark、shiper[.]appなどのサードパーティの収集エンドポイントにJSON POSTリクエストを通じて即座に流出します。セッションのリプレイができない場合は、バックアップコードやパスワードを狙うフィッシングページに誘導されます。
インフラストラクチャと情報収集
攻撃者たちは、回復力を維持するために多層的なインフラ戦略を採用しています。フィッシングページは、Netlify、Vercel、Wasmer、GitHub Pages、Surge、Cloudflare Pages、Neocitiesといった悪用されやすいプラットフォームでホストされており、ページが閉鎖されても迅速に再展開が可能です。データ流出はホスティングから切り離され、サーバーレスのフォームバックエンドを通じて行われるため、視覚的なフィッシングインフラとデータ収集エンドポイントが分離されています。
分析により、ページタイトルを軸にした広範なインフラの再利用が明らかになっています。「Facebook Security Confirmation」のような単一のタイトルが14の異なるURLで出現し、2025年1月以降、103のユニークなホスト名がFacebookの認証関連コンテンツを提供しています。ホスト名の命名規則は、「blue tick」「verified badge」「appeal」「free verification」に強く集中しており、集中管理されたコンテンツテンプレートと協調的な運用を示唆しています。
さらに高度な亜種では、被害者の地理的位置やプロキシステータスに基づいて攻撃フローを動的に分岐させる環境プロファイリングロジックが導入されています。特定の亜種は、IPインテリジェンス、地理的位置、プロキシ使用状況をプロファイリングするために外部サービスに問い合わせを行います。パキスタン国外の非プロキシユーザーには、異なる指示動画と拡張された情報収集ワークフローが提供され、ハードコードされた攻撃者の受信箱への直接メールによる情報流出([email protected]、[email protected]、[email protected])も含まれます。コメントアウトされたコードからは、「sajjad boss」「sajjad」「waseem」といったオペレーターのIDも明らかになっており、複数の攻撃チェーンを同時に管理する小規模ながら組織化された脅威グループの存在が示唆されています。
防御策と今後の課題
このキャンペーンは、ClickFix攻撃がいかに効果的であるかを示しています。ソフトウェアの脆弱性を全く必要とせず、ソーシャルエンジニアリングと信頼の操作に完全に依存しているためです。「認証」という物語は、緊急性と正当性を生み出し、ユーザーにアカウント乗っ取りのための最も価値ある資産である認証済みセッションアクセスを自発的に放棄するよう説得します。
防御側は、個々のフィッシングページだけでなく、サーバーレスのフォームバックエンドと収集エンドポイントの監視を優先すべきです。「認証」「異議申し立て」「バッジ」「セキュリティ確認」と称してc_user値とxs値を要求するページは、即座に警告を発するトリガーとなるべきです。悪用されやすいホスティングパターンの追跡と、再利用されたページタイトルを軸にした分析は、キャンペーンインフラの信頼できる拡大を可能にします。盗まれたセッションにより即座のアカウント乗っ取りが可能となるため、迅速な検出と収集エンドポイントのブロックが、攻撃者の成功を減らすために不可欠です。