進化するサイバー脅威のサイクル
サイバー犯罪の状況において、感染の自己持続サイクルが出現し、マルウェアの被害者が意図せず攻撃者の一員となるという憂慮すべき事態が進行しています。Hudson Rock脅威インテリジェンスチームは、新しくリリースされたClickFix Hunterプラットフォームとの共同調査により、「ClickFix」マルウェアキャンペーンをホストしているドメインの多くが、悪意のあるインフラではなく、情報窃取型マルウェアによって侵害された正規のビジネスサイトであることを明らかにしました。
「ClickFix」攻撃手法の巧妙化
2024年から2025年にかけて、「ClickFix」手法は目新しさから業界標準へと進化しました。この攻撃は、ブラウザの脆弱性を利用する従来のドライブバイダウンロードとは異なり、人間の操作を標的とします。Google reCAPTCHA、Chromeの更新、Microsoftのエラー画面など、信頼されたインターフェースを模倣することで、ユーザーを騙し、スクリプトをクリップボードにコピーさせ、Windowsの「ファイル名を指定して実行」(Windowsキー + R、Ctrl + V)から実行させます。この手動実行は、SmartScreenのようなほとんどの従来のセキュリティ制御を迂回し、Lumma、Vidar、Stealcなどの情報窃取型マルウェアをメモリに直接ダウンロードさせることが可能です。
「ウロボロス」:驚くべき感染の連鎖
報告書で最も警戒すべき発見は、このエコシステムの「ウロボロス(自己を食らう蛇)」的性質です。ClickFix Hunterは現在、これらのキャンペーンをホストしている1,635以上の活動中のドメインを追跡しており、このうち13%(約220サイト)が侵害された資格情報のデータベースに明示的に現れています。これは、以下の因果関係のあるフィードバックループが存在することを証明しています。
- 感染:ユーザー(多くの場合、従業員やIT管理者)が情報窃取型マルウェアに感染する。
- 情報窃取:マルウェアが、WordPressの管理パネルやcPanelのログイン情報など、「シャドーIT」資産の資格情報を窃取する。
- 侵害:攻撃者は盗んだ資格情報を使用して正規のウェブサイトを乗っ取る。
- 配布:乗っ取られたサイトがClickFixスクリプトで改造され、新たな被害者を感染させるための新しいホストとなる。
具体的な事例と対策の課題
報告書は、jrqsistemas.comやwo.cementah.comなどの具体的な事例を強調しています。これらのドメインはClickFixマルウェアの活動中のホストとして特定されましたが、Hudson Rockのインテリジェンスデータにより、これらのサイトの管理資格情報が以前に情報窃取型マルウェアによって収集されていたことが明らかになりました。jrqsistemasのケースでは、開発者の特定のWordPressログイン情報がマルウェアログで発見され、サイトがいかに兵器化されたかの「動かぬ証拠」となっています。
このモデルの成功は、ソーシャルエンジニアリングの民主化と資格情報窃盗の規模に依存しています。攻撃インフラが集中型犯罪サーバーではなく、数千の無関係なビジネスに分散しているため、テイクダウンは著しく困難です。これに対抗するため、セキュリティコミュニティはコンテキスト認識ツールへの依存を強めています。研究者Carson Williamsによって開発されたClickFix Hunterは、Hudson Rockの無料APIエンドポイントを統合し、純粋に悪意のあるドメインと侵害された正規のドメインを区別します。この区別は修復にとって極めて重要であり、フィードバックループを断ち切るには、攻撃をブロックするだけでなく、それを助長するデジタルIDを保護する必要があることを示しています。