🛡 概要
ClickFix攻撃の新亜種が、全画面の偽「Windowsセキュリティ更新」ページや「人間認証」ページを使い、ユーザーに危険なコマンドを貼り付け・実行させてマルウェアを展開しています。ページ内のスクリプトがクリップボードに攻撃者のコマンドを自動コピーし、案内どおりにキー入力すると実行される仕組みです。最終的にLummaC2やRhadamanthysといった情報窃取型マルウェアが投下される事例が確認されています。誘導は巧妙で、画像内に悪性コードを隠すステガノグラフィーまで用いられ、実行はWindowsの正規バイナリとスクリプト基盤を悪用して行われます。
🔍 技術詳細
観測されたチェーンは以下のとおりです。1) 偽更新ページ(全画面のアニメーションや進捗表示を模倣)が「特定のキー操作」を促す。ページのスクリプトはユーザーのクリップボードにコマンド列をコピー済みで、被害者がWin+R(Run)やコマンドプロンプトに貼り付けると実行が開始。2) 最初段はmshta(Windows正規バイナリ)によりJScript/JavaScriptを実行し、PowerShellを起動。3) PowerShellは多段ローダとして機能し、.NETアセンブリ(通称 Stego Loader)をメモリでロード。4) Stego LoaderにはAES暗号化されたブロブがマニフェストリソースに埋め込まれており、これは実はPNG画像(ステガノグラフィー)で、特定のカラー・チャネルからピクセルデータを復元・復号してシェルコードを再構築。5) シェルコードはDonutツールでパックされ、.NET/EXE/DLL/スクリプトをメモリ実行可能にする。6) 解析回避としてエントリポイントから1万回規模の空関数を連鎖呼び出しする「ctrampoline」的手法で制御フローを難読化し、静的・動的解析を遅延させる。7) 最終ペイロードとしてLummaC2またはRhadamanthysが展開され、認証情報やブラウザデータなどを窃取してC2へ送信する。なお、この手口は脆弱性悪用ではなく、ユーザー実行と正規機能の濫用に依存します(CVSS該当なし)。
⚠ 影響
情報窃取型マルウェアにより、ブラウザ保存パスワード、セッションCookie、ウォレット情報、RDP/VPN資格情報等が奪取され、SaaSや企業ネットワークの乗っ取り、横展開の足がかりとなります。多要素認証を回避される恐れ(セッションハイジャック)やサプライチェーン経由の二次被害にも発展し得ます。
🛠 対策
- ユーザー保護: 「更新や検証のためにコマンドを貼り付けさせる」指示は拒否するというセキュリティ教育を強化。偽全画面ページ(EscやAlt+Tabで解除可能)に関する周知。
- アプリケーション制御: AppLocker/WDACでmshta.exe、wscript.exe、cscript.exe、powershell.exeの実行ポリシーを厳格化(署名付き・特定パス限定)。
- PowerShell制御: Constrained Language Mode、Script Block Logging、Module Loggingを有効化。AMSI連携で難読化解除を支援。
- ブラウザ保護: クリップボード自動操作を発見した場合の警告提示を有効化(企業ブラウザ設定)。不審サイトの全画面表示(Fullscreen API)を制限。
- ネットワーク: Egressフィルタで不審ドメイン/新規登録ドメインへのHTTP(S)通信を制限。TLSインスペクション配下でマルウェアC2の検出を強化。
- レジストリ/RUN無効化: 業務要件が許せば「Runダイアログ」をGPOで無効化または利用監査(RunMRUの監視)。
- 検知・封じ込め: explorer.exe→mshta.exe→powershell.exeの親子関係アラート、PowerShellの-enc/-nop/-w hiddenのブロック、メモリ上のRWX領域・反射読み込みの検知。
📌 SOC視点
- プロセス監視: Sysmon EID 1(Process Create)でブラウザ/Explorer親からのmshta.exe起動、続くpowershell.exe起動を検知。コマンドラインにhttp/https、about:、-encodedcommand、FromBase64Stringなど。
- ネットワーク: Sysmon EID 3(Network Connect)でmshta.exe/powershell.exeの外向き通信、短時間での多数ドメイン切替。
- レジストリ: Sysmon EID 13(Registry Value Set)でRunMRU(HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU)更新をインシデント時に相関分析。
- ファイル/画像: 可視上はPNGだが高エントロピーで直後にメモリ実行があるダウンロードを検知(EDRの「画像後にコード実行」挙動ルール)。
- .NET/メモリ: 反射読み込み、VirtualProtect/WriteProcessMemory、RWXページ作成を振る舞い検知。Donut由来のAPI呼び出し系列をYARA/EDRで探索。
- IRポイント: セッションCookie窃取の有無、SaaS監査ログ(異常地理/未登録デバイス)確認、OAuthトークン無効化、認証情報一斉リセット。
📈 MITRE ATT&CK
- TA0001 Initial Access: T1204 User Execution(偽更新/認証ページでコマンド貼り付けを誘導)
- TA0002 Execution: T1218.005 Mshta(正規バイナリ悪用)、T1059.003 Windows Command Shell、T1059.001 PowerShell、T1059.007 JavaScript/JScript
- TA0005 Defense Evasion: T1027 Obfuscated/Compressed Files and Information、T1027.003 Steganography(PNGピクセル内に暗号化ペイロード)、Signed Binary Proxy Executionによる回避
- TA0011 Command and Control: T1071.001 Web Protocols(HTTP(S)経由のC2)
- TA0010 Exfiltration: T1041 Exfiltration Over C2 Channel(情報窃取の送出)
根拠: 攻撃はユーザー実行誘導、mshta/PowerShell/JavaScriptの連携実行、PNGステガノグラフィーを確認。情報窃取型の最終ペイロードがHTTP(S)で送信。
🏢 組織規模別助言
- 小規模(〜50名): ブラウザ保護とDNSフィルタを一体化したセキュリティ製品を導入。mshta/PowerShellの実行制御テンプレートを適用。Run無効化を検討。ワンページの啓発資料で「貼り付け要求=危険」を徹底。
- 中規模(50〜500名): WDAC/AppLockerの段階適用(監査→適用)。EDRで親子関係検知ルールを運用。SaaSログ監視とパスワードレス/MFA強制、被害時のトークン失効手順を整備。
- 大規模(500名以上): ブラウザ分離やエンタープライズブラウザ導入、TLS可視化基盤でのC2追跡。脅威ハンティングでPNG取得直後のメモリ実行ヒットをKPI化。自動封じ込め(ネット隔離/アカウント無効化)のSOAR連携。
🔎 類似事例
- SocGholish(偽ブラウザ更新): JavaScriptとPowerShellでマルウェアを投下する大規模キャンペーン。
- ClearFake: フェイク更新とステガノグラフィーを用いた配布手口が報告。
- CVE-2021-40444(MSHTML RCE): 本件は脆弱性悪用ではないが、同じMSHTML系コンポーネント周辺を悪用した攻撃例として関連知見に有用。
- Browser-in-the-Browser(BitB): 本物に見えるUIでユーザーを欺くソーシャルエンジニアリングの類似パターン。
🧭 次の一手
まずはmshta/PowerShellの実行制御とEDR検知ルール(explorer/browser→mshta→powershellチェーン)の即時展開を。次に、偽更新ページの社内演習(セキュリティ意識トレーニング)を実施し、インシデント発生時の「情報窃取対応ランブック(Cookie失効・SaaS連携アプリ審査・強制パスワードリセット)」を整備してください。Operation Endgame後も類似手口は継続しているため、継続的なハンティングとブロックリストの更新が重要です。
