1. はじめに:巧妙化する「ClickFix」攻撃
サイバーセキュリティ研究者たちは、レガシーなWindowsプロトコルである「finger.exe」の悪用が再燃し、ソーシャルエンジニアリング攻撃を促進していることを確認しました。2025年11月以降、脅威アクターは数十年前のこのユーティリティを「ClickFix」マルウェア配布キャンペーンに組み込んでいます。12月中旬に行われた最近の調査では、特にKongTukeとSmartApeSGという2つの著名なキャンペーンが、セキュリティ制御を回避し、ユーザーをだまして偽のCAPTCHAページから直接悪意のあるコードを実行させるために、この手法を積極的に利用していることが判明しました。
2. 「finger.exe」を悪用した攻撃の手口
ClickFixのソーシャルエンジニアリング技術は、通常、ウェブブラウザ内に偽のエラーメッセージやCAPTCHAチャレンジを表示します。これらのプロンプトは、不注意なユーザーに対し、問題を「修正」するために特定のスクリプトをWindowsの「ファイル名を指定して実行」ダイアログまたはPowerShellターミナルにコピー&ペーストするよう指示します。これまでの攻撃では直接的なPowerShellスクリプトに依存していましたが、2025年12月11日に観測された最新の進化では、finger.exeコマンドが利用されています。
このツールは元々リモートネットワークからユーザー情報を取得するために設計されており、TCPポート79を介して通信します。正規のシステムバイナリを悪用する「Living off the Land (LotL)」という手法を用いることで、攻撃者は既知の悪意のある実行ファイルを監視する標準的な検出メカニズムを回避することがよくあります。BleepingComputerとセキュリティ研究者Didier Stevensは、11月中旬にこの傾向を初めて指摘しました。新たなテレメトリーデータは、この戦術が存続しているだけでなく、特定の脅威グループにとって標準的な運用手段となっていることを示しています。
3. KongTukeとSmartApeSGキャンペーンの詳細
12月11日現在、KongTukeとSmartApeSGの両キャンペーンは、ペイロードを取得するために完全にFingerプロトコルに依存する更新された感染チェーンを展開していることが観測されています。
- KongTukeキャンペーン: 欺瞞的なCAPTCHAページから始まる特徴的な攻撃フローが明らかになりました。ユーザーは
gcaptcha @captchaver[.]topをターゲットとするコマンドを実行するよう促されます。WiresharkのTCPポート79フィルターを使用したネットワークトラフィック分析により、このコマンドが攻撃者のサーバーへの接続を確立することが示されました。サーバーからの応答にはユーザー情報は含まれず、代わりにBase64エンコードされた悪意のあるPowerShellコマンドが配信されます。この難読化されたペイロードは、被害者のマシンで実行され、直接的なファイルダウンロードをブロックする可能性のある境界防御を効果的に迂回します。 - SmartApeSGキャンペーン: 同様の、しかしわずかに異なるインフラストラクチャを使用していることが観測されました。このケースでは、強制されるコマンドは
[email protected] [.]108をターゲットとします。このリクエストからの応答トラフィックはKongTukeとは異なり、直接エンコードされたコマンドではなく、セカンダリペイロードを取得するためのスクリプトを返します。このスクリプトはpmidpils[.]com/yhb.jpgからコンテンツを取得し、その後ホストシステムに保存して実行します。この多段階配信により、攻撃者は最終的なマルウェアペイロードを無害な画像に見えるファイル内に隠し、検出をさらに困難にしています。
4. 講じるべき対策
finger.exeへの継続的な依存は、多くの組織が依然としてTCPポート79へのアウトバウンドトラフィックを許可していることを示唆しています。このポートは、現代の企業環境ではほとんど正当な用途がありません。セキュリティチームは、このポートへのアウトバウンド接続をブロックし、特にシェルコマンドやブラウザによって生成された不審なfinger.exeのインスタンスがないか、プロセスの実行ログを監視することが推奨されます。