🛡 概要
検索広告や偽CAPTCHAページから誘導し、被害者自身にコマンドを貼り付け・実行させる「ClickFix」攻撃が高度化しています。最新手口は、OS自動判別に基づく最適化コマンドの提示、手順動画による実行支援、クリップボード自動コピー、1分カウントダウンによる心理的圧力、そして「直近1時間の検証数」などの偽装要素で正規のCloudflare検証に見せかけます。ペイロードは情報窃取型が中心で、WindowsではmshtaやPowerShell、macOS/LinuxではcurlやshスクリプトなどのLOTL(Living-off-the-land)を悪用します。
🔍 技術詳細
観測例では、攻撃者はGoogle検索のマルバタイジングやSEO汚染で被害者を偽の「Cloudflare CAPTCHA検証」ページへ誘導します。ページはブラウザのUser-Agent等からOSを自動判別し、対象OSに合わせたコマンド(例:Windows向けPowerShell/mshta、macOS/Linux向けcurl | sh)を表示します。従来はテキスト手順でしたが、現行のClickFixは埋め込み動画で「コピー→ターミナル起動→貼り付け→実行」を視覚的に指示し、さらにJavaScriptでコマンドをクリップボードへ自動コピーして人的ミスを減らします。画面には1分のカウントダウンと「最近の検証人数」のフェイクカウンターが表示され、即断を促して正当性の検証時間を奪います。Windows環境ではmshta.exeを起点にスクリプト実行やPowerShell起動、外部からのスクリプト/バイナリ取得(例:Invoke-WebRequest、BITS、certutil、curl)などが確認されます。macOS/Linuxではcurlまたはwgetで取得したスクリプトをsh/bashにパイプするワンライナー(curl | bash)が典型で、LaunchAgents/cron等で永続化に繋がる可能性があります。攻撃インフラ面では、旧式・脆弱なWordPressプラグインを悪用した正規サイト改ざんや、短期使い捨ての「雰囲気重視(vibe-code)」サイトが使われ、検索結果上位に押し上げられます。研究者の観測では、将来は「ブラウザ内で完結」する形へ進化し、EDRのホスト監視を回避する可能性が指摘されています(推測であり、現時点の既知事実ではありません)。CVSS: 該当なし(キャンペーン手口のため個別CVE評価対象外)。
⚠ 影響
・情報窃取(ブラウザ保存パスワード、クッキー、暗号資産ウォレット、SSHキー)によるアカウント乗っ取りや二次侵害の拡大。・端末制御や横展開の足掛かり(認証情報の悪用、SaaS乗っ取り、メール送信によるさらなる拡散)。・広告予算の無駄打ちやSEO被害、ブランド毀損。・IR/復旧コストの増大とコンプライアンス違反リスク。
🛠 対策
・ユーザー教育: オンライン検証でターミナル操作を求める手順は正規業務に存在しないことを徹底。コピーしたコマンドは必ず内容を確認。・ブラウザ/検索対策: 企業向けセーフサーチと広告配信ドメインの制御、悪性広告ブロックリスト導入、拡張機能制御。・エンドポイント強化: PowerShellをConstrained Language Mode、mshta.exe等LOLBinの実行制御(AppLocker/WDAC)、curl | bashの遮断(shellのnoevalポリシーやEPPルール)、証明書のピン留め/スクリプト署名検証。・アイデンティティ防御: パスキー/MFAの強制、ブラウザ保存資格情報の最小化、SSO監視。・ウェブ/インフラ保護: WordPress等のCMS/プラグインを最新化し不要プラグイン削除、WAF/改ざん検知、CSPで不審スクリプト読込を制限。・検知運用: mshta/PowerShellのネットワーク発呼、base64/エンコード/無署名スクリプト実行、curl/wgetのパイプ実行を検出するルールを追加。
📌 SOC視点
・ハンティング: Windowsでの親子関係【browser.exe→powershell.exe/mshta.exe】、powershellのEncodedCommandやIEX、mshtaのhttp/https引数、certutil -urlcache、BITSAdmin/Start-BitsTransfer。macOS/Linuxで【curl|bash】【wget -O – | sh】、/tmp配下の実行権付与、初回実行直後のLaunchAgents/cron登録。・ログ: Sysmon(1,3,11,22), Windows 4688/5156, PowerShell Operational(4103/4104), AMSI, macOS Unified Logging(process/network/file)、Linux auditd(eexcve), EDRテレメトリ。・ネットワーク: 新規・短命ドメインへのTLS通信、検索広告経由の遷移チェーン、CSP/Referrer-Policy逸脱。・コンテンツ検査: クリップボード書込APIの過剰使用、User-Agent依存の条件分岐、カウントダウンUI要素のHeuristics。
📈 MITRE ATT&CK
・TA0043 Reconnaissance / T1592.001(被害ホスト情報収集: User-Agent等でOS判別)― ページがOS別コマンドを出し分け。
・TA0042 Resource Development / T1584.004(インフラ侵害: Webサーバ)― 脆弱なWordPressサイト改ざん・JS注入に合致。
・TA0001 Initial Access / T1189(ドライブバイ妥協)― 検索広告/SEOで誘導された悪性ページ閲覧が起点。
・TA0002 Execution / T1204(ユーザー実行)― 動画と手順でコマンド貼付実行を誘導。
・TA0002 Execution / T1059.001(PowerShell)・T1059.004(Unix Shell)・T1059.007(JavaScript)― それぞれのOSでスクリプト実行。
・TA0005 Defense Evasion / T1218.005(mshta)― 署名付きバイナリのプロキシ実行として悪用。
・TA0011 Command and Control / T1105(Ingress Tool Transfer)― curl/wget/PowerShellでのペイロード取得。
・TA0005 Defense Evasion / T1036(偽装)― Cloudflare CAPTCHAや偽カウンターで正規風に偽装。
・TA0000 付記: 研究者は将来的な「ブラウザ内完結」型(EDR回避)の可能性を示唆(現時点は推測)。
🏢 組織規模別助言
・小規模(〜50名): ブラウザ拡張の白/黒リスト、mshta/PowerShellの既定無効化テンプレを導入。検索広告のクリック前承認ルールを社内周知。MFA・パスキー強制。
・中規模(50〜500名): WDAC/AppLockerによるLOLBin制御、Secure Web Gateway/DNSフィルタ、EDRの振る舞い検出(curl|bash、EncodedCommand)を有効化。SaaSの異常ログイン監視と自動隔離プレイブック。
・大規模(500名以上): コンテキスト広告のカテゴリブロック、CSP/SSPMの全社適用、脆弱CMSのSBOM・資産台帳での一元管理、攻撃面のBAS/レッドチームで継続検証。Brand/SEO監視でなりすましドメインの早期テイクダウン。
🔎 類似事例
・BATLOADERのGoogle広告マルバタイジング
・GootloaderのSEOポイズニングとスクリプト誘導
・SocGholish(FakeUpdate)の偽ブラウザ更新手口
・ClearFakeのmshta悪用によるスクリプト実行
🧭 次の一手
・自社EDR/SIEMで「curl|bash」「mshtaのHTTP引数」「PowerShell EncodedCommand」を即日ハンティング。・ブラウザとOSにおけるLOLBin実行制御のポリシー差分を棚卸しし、標準で無効化。・利用CMS/プラグインの更新状況を監査し、不要プラグインを削除。・セキュリティ意識向上研修に「オンライン検証でのターミナル操作は存在しない」を明記。次は「マルバタイジング対策プレイブック」と「PowerShell/LOLBinハードニング手順」の解説記事を参照してください。
