ClickFix攻撃の進化:新たな脅威の台頭
過去1年間でClickFix攻撃が劇的に増加し、現代の攻撃者にとって極めて重要なツールとしての地位を確立しています。これらの巧妙なソーシャルエンジニアリングキャンペーンは、ユーザーを騙して自身のデバイス上で悪意のあるコードを実行させ、疑わしいクリック、怪しいダウンロード、フィッシングサイトの防止に焦点を当てた従来の防御を回避します。ロンドンでの最近の脅威ブリーフィングとPush Securityが主催した最新のウェビナーでは、ClickFix技術がウェブページのデザインだけでなく、その配信方法やペイロードの実行方法においても急速に進化していることが強調されました。
高度なClickFixページの仕組み
観測された最も憂慮すべき傾向の一つは、ユーザーに「セキュリティチェック」を回避する方法を段階的に示す指示動画の武器化です。最も高度なClickFixページでは、訪問者のデバイスに合わせてコマンドや指示が調整され、特にMac固有の指示が一般的になっています。舞台裏では、危険な自動化が進行しています。これらのページの大部分はJavaScriptを使用して、悪意のあるコマンドをユーザーのクリップボードに自動的にコピーし、「自己感染」プロセスへの道を開きます。被害者は、セキュリティチェックを通過するという名目で、このコードを貼り付けて実行するように騙されます。
多様化する配信経路
従来のフィッシングとは異なり、これらの攻撃は初期の配信ベクトルとしてメールに依存することはほとんどありません。実際、調査によると、傍受されたClickFixの誘い込みの5件中4件は、汚染されたGoogle検索結果または悪意のある広告(マルバタイジング)から始まっていました。攻撃者は、不正なサイトを最適化したり、人気のあるCMSプラットフォームの脆弱性を悪用したりしてペイロードを配布し、メールセキュリティゲートウェイを回避します。ClickFix攻撃がメールベースの侵入を超えて進化するにつれて、従来のアンチフィッシングツールは迂回され、監視のギャップが露呈しています。メールが使用される場合でも、ドメイン偽装、高速ドメインローテーション、ボット保護、重度のコンテンツ難読化といった回避戦術により、ウェブクローラーやプロキシによる検出はますます困難になっています。
ブラウザサンドボックスとクリップボードの課題
重要なことに、ブラウザサンドボックス内のセキュリティソリューションは、クリップボードを改変するスクリプトを悪意のあるものとしてフラグ付けできないことが多く、マルウェアがエンドポイントで実行されるまで攻撃者にステルスな攻撃ゾーンを与えています。クリップボードアクセスをブロックするデバイスレベルの制御は、ClickFixの誘い込みが悪意のあるスクリプトをトリガーするために明示的なユーザーアクション(ボタンのクリックなど)を必要とするため、ほとんど保護を提供しません。この相互作用はOSレベルで一般的にブロックすることはできません。
ペイロードの革新と将来の脅威
ペイロード自体も進化しています。攻撃者はもはやPowerShellやmshtaだけに依存しているわけではなく、広範な「Living-off-the-land binaries (LOLBINs)」を悪用しています。洗練された亜種は現在、キャッシュスミッシングを採用しており、ブラウザを騙して、セキュリティツールが検出するためのネットワーク信号なしにローカルで実行される、悪意のあるJPGとして偽装されたペイロードなどのダウンロードをさせます。将来の脅威の状況では、EDRやエンドポイントセキュリティを完全に迂回して、ブラウザ内で完全な侵害が行われる可能性があります。現在のハイブリッド攻撃経路では、攻撃者がブラウザで誘い込みを行い、認証情報やクッキー窃盗のためのエンドポイント侵害をトリガーすることが、驚くほど効果的であることが証明されています。
ClickFix攻撃の影響と対策
Microsoftの2025年デジタル防衛レポートによると、ClickFixは2025年に観測された全攻撃の47%を占める主要な初期アクセス技術でした。特に管理されていないBYODデバイスを許可する組織では、EDRへの依存は危険です。ClickFixはユーザー主導であるため、自動化ツールがアラートを分類するためのコンテキストが不足し、検出漏れや誤った優先順位付けのリスクがあります。Push Securityの新しい悪意のあるコピー&ペースト検出機能は、配信方法やペイロードの種類に関係なく、ClickFixをその発生源でブロックするプロアクティブなブラウザ側防御を提供します。エンドポイントセキュリティをブラウザベースの制御で補完することは、これらの高度なソーシャルエンジニアリング攻撃が組織の防御を突破する前に阻止するために不可欠です。