Microsoftは8月21日(米国時間)、「Think before you Click(Fix): Analyzing the ClickFix social engineering technique|Microsoft Security Blog」において、ClickFix戦術を用いるサイバー攻撃に注意を喚起した。
過去1年間の調査期間中、数千もの企業およびエンドユーザーのデバイスを標的とするキャンペーンを毎日確認したと述べ、これら攻撃の詳細な分析報告と防御策を提案している。
-
Think before you Click(Fix): Analyzing the ClickFix social engineering technique|Microsoft Security Blog
ClickFix戦術が広く拡散する理由
Microsoftの調査によると2024年初頭以降、ClickFix戦術はWindowsおよびmacOSデバイスを標的とする情報窃取マルウェア配布キャンペーンで使用されたという。これらキャンペーンでは初期の侵害経路としてフィッシングメール、マルバタイジング(偽広告)、ドライブバイダウンロードなどが使用され、そのリンク先のランディングページでClickFix戦術の使用が確認されたとしている。
-
攻撃に使用された無料映画サイトの例。再生ボタンをクリックするとClickFixページに誘導される 引用:Microsoft
この手法はユーザー自身にコマンドを実行させる必要があることから、攻撃をユーザーに看破される可能性がある。そのため、その有効性には疑問が生じるが、Microsoftによると実行に成功した場合、従来のセキュリティソリューションや自動化されたセキュリティソリューションを回避できるメリットがあるという。
Microsoftは調査中、セキュリティソリューションを回避する目的で手法を改良した例を確認したと報告しており、ClickFix戦術の目的がセキュリティソリューションの回避にあることを裏付けている。
技術的な側面以外にも、ClickFix戦術が広く拡散する理由が発見されている。Microsoftによると、ClickFix戦術を使用したサイバー攻撃を支援する「ClickFixビルダー」を販売する複数の脅威アクターが確認されたという。サブスクリプション価格が月額200ドルから1,500ドルと比較的安価なことから、参入障壁の低下とさらなる拡散が懸念されている。
ClickFix戦術の防御策
MicrosoftはClickFix戦術から従業員を保護する方法として、多層的な防御ソリューションの導入を提案している。Webブラウザ保護によるClickFixランディングページの検出、疑わしいコマンドの実行ブロック、悪意のある通信の検出、フィッシングメールの検出など、多層的な防御戦術が有効としている。
また、ユーザー自身にコマンドを実行させる必要があることから、従業員教育も重要として推奨している。コマンドプロンプトを要求する不自然さを認識させ、実行前にコマンドの分析を徹底させることで攻撃を回避できる可能性がある。さらに、同社は多数の緩和策を提案しており、セキュリティ担当者はそれらを確認することが推奨される。
