
ロシア精鋭ハッカーがClickfix攻撃を採用#
ウクライナのCERT(コンピュータ緊急対応チーム)は、ロシア軍情報機関GRUの精鋭ハッキングユニット「Sandworm」が、「Clickfix」と呼ばれる攻撃手法を用いてウクライナ国内の機密性の高い組織のデバイスを侵害していると警告を発した。
Clickfixとはどのような攻撃手法か#
Clickfixは、ここ1年ほどで広く使われるようになった攻撃手法だ。主に金銭目的のサイバー犯罪者が使い始めたものとして知られている。
具体的な仕組みはこうだ。攻撃者が管理するウェブサイトに、本物に見せかけた偽のCAPTCHA(人間かどうかを確認する認証画面)が表示される。そのCAPTCHAは、表示された文字列をコピーしてパソコンのターミナル(コマンド入力画面)に貼り付けるよう訪問者に指示する。しかし、その文字列の実体は悪意のあるスクリプト(自動実行プログラム)であり、ユーザーが実行した瞬間にマルウェアのインストールや機密データの窃取といった悪意ある動作が行われる。
Sandwormによる具体的な攻撃の詳細#
SandwormによるClickfix攻撃は今年の春に始まり、夏にかけて継続している。ウクライナ当局はこれまでに10件以上の侵害されたウェブサイトを発見しており、少なくとも1つの組織のネットワークが実際に侵害されたことが確認されている。その際、接続されたデバイスにSandworm独自のマルウェア「FreakyPoll」の感染が確認された。
攻撃の流れ#
侵害されたウェブサイトでは、偽CAPTCHAを通じてPowerShellコマンド(Windowsの高機能コマンドツール)が表示される。ユーザーがこのスクリプトを実行すると、段階的に複数のマルウェアが展開される。
ウクライナCERTの勧告によると、攻撃の流れは以下のとおりだ。
- GHETTOVIBE(VBSファイル): 最初に実行されるマルウェアの一種。スタートアップディレクトリにVBS(Visual Basic Script)ファイルを保存・ロードする役割を持つ。
- SCOUTCURL(偵察ツール): 感染したコンピュータの重要性を判定するためのPowerShellスクリプト。端末の基本情報、インストールされているプログラム、ファイル、ブラウザのデータなどを収集・送信する。
- FreakyPoll(バックドア): Pythonスクリプトで作られたバックドア型マルウェア。デバイスへの不正な遠隔アクセスを確立する。
- FluidLeech: アンチウイルス(ウイルス対策)ソフトウェアに偽装したマルウェア。
- LoadLoop: 攻撃チェーンで使用される追加マルウェア。
また、勧告では「SMARTAXE」と呼ばれる独自のプログラムコードについても言及されており、このコードはスマートコントラクト(ブロックチェーン上の自動実行プログラム)を利用してリモートリソースのドメイン名を動的に取得し、訪問者へ表示するウェブページの内容(偽CAPTCHAを含む)を変更する機能を持つとされている。さらに「Cloaking.House」というサービスの機能も悪用し、トラフィックのフィルタリングや第三者のHTMLページ表示なども組み合わせていることが確認された。
Androidデバイスへの攻撃も#
CERT-UAはAndroidデバイスを標的にした別の攻撃手法も記録している。「CowardDuck」と名付けられたこの手法では、標的をだましてアプリをインストールさせ、機密性の高いファイルを収集・送信する。
このニュースが重要な理由#
犯罪者の手法を国家が採用#
Clickfixはもともと金銭目的のサイバー犯罪者が使い始めた手法であり、それをSandwormのような高度な国家支援型ハッカー集団が採用したという点が今回の最大の注目点だ。
以前の攻撃手法との変化#
ウクライナCERTの勧告によると、以前のSandwormはトレントトラッカー(ファイル共有サービス)にブービートラップ(罠)が仕掛けられた海賊版ソフトのリンクを埋め込む手法や、Signalを通じた長期的なやり取りを通じて標的をセキュリティソフトに偽装したマルウェアのインストールへ誘導する手法を主に使っていた。Clickfixの採用はこれらとは異なる新たなアプローチを示している。
まとめ#
ウクライナCERT-UAの勧告は、ウェブサイトの管理者およびホスティング事業者に対し、ウェブシェル(不正なリモートアクセスツール)、無許可の拡張機能、その他の侵害の兆候を監視するよう呼びかけて締めくくられている。
筆者の見解: 国家レベルの高度な攻撃者が、比較的シンプルなソーシャルエンジニアリング(人間の心理を利用した詐欺的手法)であるClickfixを採用しているという事実は、技術的な複雑さよりも「人間の行動を誘導すること」が依然として最も効果的な侵入経路であることを示唆している。Clickfixに類似した偽CAPTCHAを見かけた際には、ターミナルへの貼り付けを絶対に行わないよう注意が必要だ。
出典: Now, even Russia’s most elite hackers are using Clickfix to infect devices





