Source:https://thehackernews.com/2025/11/large-scale-clickfix-phishing-attacks.html
🛡 概要
ホスピタリティ業界を標的に、ClickFix型の偽検証ページでホテル担当者を誘導し、PureRAT(別名 zgRAT)を配布して認証情報やカード情報を詐取する大規模フィッシングが確認されています。観測は少なくとも2025年4月から継続し、10月時点でも活動中と報告されています。攻撃者は正規のメールアカウントを侵害してBooking.comなどを装い、複数の国のホテルに一斉送信。偽のセキュリティ確認を口実にユーザーにコマンド実行を促し、最終的にPureRATを常駐させ、宿泊予約プラットフォームのアカウント乗っ取りやゲストへの詐欺連絡に悪用します。Push Securityの分析では、最新のClickFixページは動画やカウントダウン、最近の検証件数表示などで信憑性を高め、OSに応じた手順表示やクリップボード自動コピーまで行うなど高度化が進んでいます。
🔍 技術詳細
攻撃は侵害済みメールアカウントからのスピアフィッシングで開始され、Booking.comなどになりすました本文内リンクを踏ませます。リンクは複数のリダイレクトを経てClickFixページに到達し、reCAPTCHA風UIで接続の安全性確認を装います。訪問時に非同期JavaScriptが短時間待機後、ページがiframe内かを検査し、同一URLのHTTP版へ誘導する挙動が確認されています。ユーザーは表示手順に従ってコマンドをコピーして実行するよう促され、WindowsではPowerShell、macOSではターミナルを開く案内が出ます。PowerShell側では、システム情報を収集しつつZIPアーカイブを取得・展開し、署名付き実行ファイルと同名の悪意あるDLLを同ディレクトリに配置してDLLサイドローディングを成立させます。永続化はレジストリ Run キー(例: HKCU\Software\Microsoft\Windows\CurrentVersion\Run)等で設定され、起動時にPureRATが読み込まれます。
PureRATはモジュール式で、リモート操作、マウス・キーボード制御、ウェブカメラ・マイク録画、キーロギング、ファイル送受信、プロキシ中継、データ窃取、任意コマンド実行など広範な機能を備えます。難読化には.NET Reactorが使われ、解析抵抗性と検出回避を強化します。攻撃者はこれによりホテルの予約管理用アカウントや認証クッキーを取得し、闇市場で売却するか、正規の予約情報を用いたWhatsAppやメールでの追い打ち詐欺(カード認証の名目で偽サイトへ誘導)を行います。さらに、Booking.com施設管理者情報は犯罪フォーラム(例: LolzTeam)やTelegramボット経由で取引され、トラッファーと呼ばれる配布担当者が選別的に感染を拡大します。ログチェッカーはプロキシ経由で認証を試行し、収集済み資格情報の有効性を検証します。
本件は特定の脆弱性悪用ではなく、社会工学とユーザー実行、そしてWindowsのロード順序悪用を組み合わせた攻撃連鎖です。CVSSは個別CVEがないため適用外ですが、業務リスクは極めて高く、アカウント乗っ取りと金銭詐欺、ブランド毀損につながります。
⚠ 影響
・宿泊予約プラットフォーム(Booking.com、Expedia等)のアカウント乗っ取りにより、正規チャネルを悪用したゲスト詐欺や不正予約、払い戻し詐取が発生します。
・顧客の個人情報やカード情報詐取、クッキーやセッションの転売により、二次被害が拡大します。
・ホテル運営側の端末にRATが常駐すると、情報窃取・遠隔操作・追加ペイロード展開が可能になり、業務継続性と法令順守に重大な影響を与えます。
🛠 対策
アカウント・メール対策: DMARC/DKIM/SPFの厳格運用に加え、侵害アカウント経由の送信を想定して送信異常検知(短期大量送信、未接触宛先への拡散、国際送信スパイク)をMTAで監視。予約プラットフォームの管理アカウントはFIDO2 多要素認証、パスキー、地理・デバイス基準の条件付きアクセスを必須化し、IP許可リストや時間制限ログインを検討。OAuth権限の監査と高リスクセッションの強制サインアウトを定期実施。
エンドポイント対策: PowerShellのConstrained Language ModeとScript Block Logging(4104)、転送・実行系コマンド(Invoke-WebRequest、Start-BitsTransfer、rundll32等)の監査強化。Windows Defender ASRルール(Officeからの子プロセス生成・疑わしいスクリプトのブロック等)、WDAC/Applockerでユーザー書込ディレクトリからの実行と未署名DLLロードを抑止。ブラウザはHTTPS Only Modeを組織ポリシーで有効化し、HTTPダウングレード誘導を可視化・ブロック。クリップボード自動コピーを悪用する手口に備え、ユーザー教育でウェブページのコマンド貼付・実行禁止を徹底。
ネットワーク・監視: Egress制御で不審な新規ドメイン・生IPへのHTTPS/HTTPを段階的に制限。TLS検査下で未知SNI・自己署名証明書を警告。SOARで疑わしい認証イベントとEDR検知を相関し、即時アカウント隔離と端末ネットワーク隔離を自動化。
📌 SOC視点
推奨ログと狩りの観点:
・メール: 送信ログの急増、送信国変化、返信先変更、OAuthトークンの大量発行・失効。
・Web/プロキシ: httpsからhttpへの同一ホスト遷移、短時間の多段リダイレクト、OS判別スクリプト配信、Clipboard API呼び出しの増加。
・EDR/Windows: イベントID 4688(プロセス生成)でブラウザからpowershell.exe/cmd.exeが生成、4104(PowerShell)、Sysmon 1/11/13/22(ProcessCreate/FileCreate/Registry/ DNS)でRunキー追加、ユーザー書込パスへのDLL配置、署名済みEXE+不審DLLの隣接配置、rundll32の未知引数。
・認証: 異常地理・端末からの管理者ログイン、短時間での大量メッセージ機能利用(予約プラットフォームのメッセージセンター)。
📈 MITRE ATT&CK
・Initial Access: T1566.002 Spearphishing Link(成りすましメールでClickFixページへ誘導)/ T1566.003(WhatsApp等のサービス経由での誘導)
・Execution: T1059.001 PowerShell(コピー実行させるコマンド)/ T1204 User Execution(ユーザー操作依存)
・Persistence: T1547.001 Registry Run Keys(Runキーで永続化)
・Privilege Escalation/Defense Evasion: T1574 Hijack Execution Flow(DLLサイドローディング)/ T1027 Obfuscated/Compressed Files(.NET Reactor難読化)
・Discovery: T1082 System Information Discovery(実行時の環境情報収集)
・Credential Access/Collection: T1056.001 Keylogging、T1113 Screen Capture、T1123 Audio Capture、T1125 Video Capture、T1539 Steal Web Session Cookie(クッキーやログの窃取・売買)
・Command and Control: T1071.001 Web Protocols(HTTPS等によるC2)
・Exfiltration: T1041 Exfiltration Over C2 Channel(C2経路でのデータ流出)
🏢 組織規模別助言
小規模(〜50名): 予約プラットフォームの管理は専用PCで実施し、一般ブラウジングと分離。FIDO2 MFA、ブラウザHTTPS Only、EDRを1製品に統一。ClickFix型の疑似演習を月次で実施し、ページ上のコマンドは絶対に実行しないルールを周知。
中規模(50〜500名): M365やGoogle Workspaceの条件付きアクセスで地理・デバイス制御。ASR/WDACでスクリプト実行最小化。SOARで送信異常とEDR検知の相関隔離を自動化。予約サイトの権限を最小化し、業務役割単位でアカウントを分離。
大規模(500名以上): ブラウザ隔離(RBI)の適用、TLS復号下でのHTTPダウングレード検知、UEBAでアカウントふるまい異常検出。サプライヤ管理を強化し、PMS/チャネルマネージャとの連携アカウントもFIDO2必須化。レッドチームによるClickFix模倣演習を四半期ごとに実施。
🔎 类似事例
・予約プラットフォームアカウント乗っ取りを狙う一連の攻撃は2025年3月にも報告され、トラッファーによる配布やログ検証サービスなど、犯罪エコシステムの高度化が確認されています。
・DLLサイドローディングはPlugXなど多数のマルウェアで恒常的に悪用され、3CX事件(2023年)でも広く注目されました。
・RedLineやRaccoonなどのインフォスティーラーによるセッション・クッキーログの売買は、今回のような予約サイト不正にも再利用されます。
🧭 次の一手
1) 予約プラットフォーム管理アカウントへFIDO2 MFAを即時展開し、過去30日の全セッションを失効。2) EDRでブラウザ子プロセスのPowerShell起動とrundll32のヒューリスティック検知を有効化、Runキー追加をアラート化。3) ブラウザのHTTPS Only Modeをポリシー適用。4) フィッシング演習でClickFix型シナリオを採用し、ページ上のコマンドを実行しない文化を定着させる。5) インシデントレスポンス手順に、予約サイトの権限凍結とゲスト通知テンプレートを追加。
