正規サイトを踏み台にした新型攻撃が発覚
正規ウェブサイトを侵害し、偽のCloudFlare検証画面を表示させてユーザーを騙す「ClickFix」攻撃が進化しています。Elastic Security Labsの最新レポートによると、従来のClickFix攻撃は単純な情報窃取マルウェアで終わっていましたが、今回発見されたキャンペーンでは5段階もの複雑な感染チェーンを経て「MIMICRAT」と呼ばれる高度なカスタムRATを配信しています。金融、法律、ハイテク、医療など幅広い業界が標的となっており、感染すれば情報漏えいや事業停止といった深刻な経営リスクに直結します。日本企業も警戒が必要です。
ClickFix攻撃の仕組みと5段階の感染フロー
ClickFix攻撃とは、正規のウェブサイトを侵害し、訪問者に対して偽の認証画面を表示する手法です。今回のキャンペーンでは、bincheck.ioなどの正規サイトに悪意あるJavaScriptが注入されました。
感染の流れは次のように進みます。まず、侵害されたサイトにアクセスすると偽のCloudFlare検証ページが表示されます。ユーザーがボタンをクリックすると、クリップボードにPowerShellコマンドがコピーされ、「確認のためにコマンドを実行してください」と誘導されます。ここで実行を許可すると、ETWやAMSIといったWindowsのセキュリティ監視機能がバイパスされ、Luaベースのインメモリローダーが起動します。その後、Meterpreterに類似したシェルコードが展開され、最終的にMIMICRATがシステムに侵入します。
このMIMICRATは、22種類のコマンドを持つ独自のC2プロトコルを実装し、Windowsトークン偽装やSOCKS5トンネリング、RC4/RSA/AES暗号化など、高度な機能を備えています。さらに、CloudFrontリレーを使用してHTTPS 443ポートで通信を行い、正規のWebアナリティクストラフィックに偽装することで検出を困難にしています。
なぜこの攻撃が危険なのか
ここまで読んで
「うちも同じだ」と思った方へ
課題は企業ごとに異なります。30分の無料相談で、
御社のボトルネックを一緒に整理しませんか?
営業電話なし オンライン対応可 相談だけでもOK
ClickFix攻撃が拡大している背景には、ソーシャルエンジニアリングの巧妙化があります。偽のCloudFlare画面は本物と見分けがつきにくく、「セキュリティ確認」という名目でユーザーにPowerShell攻撃を実行させるため、ITリテラシーの高い従業員でも騙される可能性があります。
また、正規サイトが踏み台として悪用されるため、URLフィルタリングやブラックリストベースの防御では検知が困難です。2025年に入ってからはMicrosoft CrashFix変種も発見されており、ClickFix手法は攻撃者の間でよく使われるテクニックになりつつあります。
標的となっている業界は金融、法律、ハイテク、高等教育、小売、医療と多岐にわたり、米国、フランス、ドイツ、オーストラリア、カナダで被害が確認されています。特に中小企業は専任のセキュリティ担当者がいないケースも多く、EDR運用が手薄になりがちです。グローバルに事業を展開する日本企業にとっても、対岸の火事ではありません。
自社が標的になりやすいかどうか、次の3点を確認してください。従業員が管理者権限でPCを日常利用している、EDRを導入していないか監視ルールが古いまま、ClickFixのような新しい手口に関するセキュリティ教育を実施していない。1つでも該当する場合は、早急な対策が求められます。
自社を守るために今すぐできること
この脅威から企業を守るために、以下の対策を検討してください。
第一に、EDRルールの見直しが重要です。正規サイトからのPowerShell実行を監視するルールが適切に設定されているか確認しましょう。特にユーザー操作をトリガーとしたPowerShell起動は、ClickFix攻撃の典型的なパターンです。
第二に、従業員へのセキュリティ教育を強化してください。偽CloudFlare検証画面の見分け方や、「クリップボードにコピーしたコマンドを実行させる」という手口について周知することが有効です。
第三に、ETWおよびAMSIバイパスの検出ルールを最新の状態に更新してください。これらのセキュリティ機能が無効化される兆候を早期に検知することで、感染チェーンの初期段階で攻撃を止められます。
第四に、Elasticが公開しているYARAルール「Windows_Trojan_MimicRat」の導入を検討してください。既存のセキュリティ基盤に組み込むことで、MIMICRATの検出精度を高められます。
第五に、ネットワーク監視の強化も欠かせません。CloudFront経由の不審なHTTPS通信や、通常とは異なるパターンのWebアナリティクストラフィックがないかチェックしましょう。
まとめ
ClickFix攻撃は、正規サイトの信頼性を悪用し、ユーザーの操作を巧みに誘導する新しいタイプの脅威です。5段階の感染チェーンと高度な検出回避機能を持つMIMICRATの登場は、サイバー攻撃の高度化を象徴しています。EDRルールの見直し、従業員教育、検出ルールの更新といった多層的な対策が求められます。
自社のセキュリティ体制に不安がある場合は、GXOにご相談ください。ご相談いただくと、現状のEDR設定診断、想定される侵入経路の整理、優先すべき対策の明確化といった具体的なアウトプットを得られます。180社以上の支援実績を持つ専門チームが、EDR導入からインシデント対応まで一気通貫でサポートいたします。
「やりたいこと」はあるのに、
進め方がわからない?
DX・AI導入でつまずくポイントは企業ごとに異なります。
30分の無料相談で、御社の現状を整理し、最適な進め方を一緒に考えます。
営業電話なし オンライン対応可 相談だけでもOK
