マルウェア感染を狙う新たな手口:偽CAPTCHA「ClickFix」
マイクロソフトが注意喚起している「ClickFix」と呼ばれる新たなサイバー攻撃手法が広がっています。この手法は、ウェブサイトでよく見かける「私はロボットではありません」というCAPTCHA認証を偽装して、ユーザーにマルウェアを実行させるという巧妙な仕組みを持っています。
「ClickFix」の手口
この攻撃は以下のような流れで行われます:
- ユーザーを正規サービスに見せかけた詐欺サイトに誘導する
- 「私はロボットではありません」のボタンを表示する
- ユーザーがボタンをクリックすると、「確認のため」として以下の操作を求める:
- Windowsボタンと「R」を押す(「ファイル名を指定して実行」ウィンドウを表示)
- 「CTRL」と「V」を押す(不正サイトの仮想クリップボードから悪質なコードをペースト)
- 「Enter」を押す(マルウェアが実行される)
この手法が特に危険なのは、一般的なマルウェア感染手法と比べて不審な印象を与えにくく、ユーザー自身に操作させることでウェブブラウザなどのセキュリティ対策をすり抜けやすい点です。
主な標的と被害事例
旅行業界を標的にした攻撃
| 標的 | 手法 | 被害内容 |
|---|---|---|
| Booking.com | 「宿泊設備やスタッフの対応に関するフィードバック」や「宿泊検討者からの問い合わせ」を装った詐欺メール | パスワードや決済情報の窃取、アカウント乗っ取り |
この攻撃では、Booking.comを利用している宿泊施設のアカウントが乗っ取られ、予約客に対して決済情報の提供を求める詐欺メールが送信されるケースも報告されています。
その他の標的
| 業界 | 事例 |
|---|---|
| ヘルスケア | 理学療法士向けサイト「HEP2go」を装った不正サイト |
| IT | Google ChromeやFacebookのエラーページを装った詐欺サイト |
| その他 | ゲーム、PDF閲覧ソフト、Zoomアプリなどを探すユーザーを標的 |
攻撃の背景
この攻撃を仕掛けているのは「Storm-1865」と呼ばれるサイバー犯罪集団で、2023年頃から詐欺の手口を進化させ、攻撃件数も増大しています。米保健社会福祉省は2024年10月の時点で、同様の手口に注意を促していました。
対策
マイクロソフトやArctic Wolfなどのセキュリティ企業は、こうした詐欺の手口を見抜けるよう、企業の従業員トレーニングに力を入れる必要性を指摘しています。ユーザー側としては、以下の点に注意することが重要です:
- 正規のCAPTCHAは通常、キーボード操作を求めることはない
- 不審なリンクや添付ファイルをクリックしない
- 「ファイル名を指定して実行」ウィンドウが突然表示された場合は注意する
- セキュリティ意識を高め、不審な操作を求められた場合は実行しない
この「ClickFix」の手法は2024年12月に発見され、2025年2月時点でも継続して利用されていることから、今後も警戒が必要です。特に企業のセキュリティ担当者は、従業員に対するセキュリティ教育を強化することが推奨されています。
Follow me!
コメント