ClickFix攻撃：北朝鮮・イラン・ロシアの国家ハッカーが日本外交官を装った標的型マルウェア展開

2025年4月19日11:05

サイバーセキュリティニュース

ClickFix攻撃：北朝鮮・イラン・ロシアの国家ハッカーが日本外交官を装った標的型マルウェア展開 - innovaTopia - （イノベトピア）

Last Updated on 2025-04-19 11:05 by admin

セキュリティ企業Proofpointは2025年4月17日に発表したレポートで、イラン、北朝鮮、ロシアの複数の国家支援ハッキンググループが「ClickFix」と呼ばれるソーシャルエンジニアリング戦術を利用してマルウェアを展開していることを明らかにした。この活動は2024年10月から2025年2月にかけての約4ヶ月間にわたって行われた。

ClickFixは、ユーザーに問題修正やCAPTCHA認証完了、デバイス登録などの口実で悪意のあるコマンドをコピー・貼り付け・実行するよう促し、自分自身のマシンに感染させる手法である。この戦術を採用したフィッシングキャンペーンは、TA427（別名Kimsuky）、TA450（別名MuddyWater）、UNK_RemoteRogue、TA422（別名APT28/Sofacy）として追跡されているグループによるものだ。

北朝鮮関連のKimsukyグループは2025年1月と2月に、シンクタンク部門の5組織未満の個人を標的としたフィッシングキャンペーンでClickFixを使用した。攻撃者は日本の外交官から送信されたように見せかけたメールで、米国駐在の日本大使との会議設定を依頼。会話の過程で悪意のあるPDFを送信し、リンクをクリックすると日本大使館のウェブサイトを模した偽サイトに誘導され、PowerShellコマンドの実行を促された。このコマンドは最終的にQuasar RATというリモートアクセストロイの木馬を展開した。

イラン関連のMuddyWaterグループは2024年11月13日と14日に、Microsoftのパッチチューズデーのアップデートに合わせてフィッシングメールを送信。セキュリティアップデートを装い、ClickFix手法を使用してLevelというリモート監視・管理ソフトウェアをインストールさせた。このキャンペーンは中東全域の金融、政府、健康、教育、輸送部門を標的としており、特にUAEとサウジアラビア、そしてカナダ、ドイツ、スイス、米国の組織に重点を置いていた。

ロシア関連のUNK_RemoteRogueグループは2024年12月に、防衛産業の主要な武器製造業者に関連する2つの組織の個人に10のメッセージを送信。侵害されたZimbraサーバーから送信されたメールでMicrosoft Office文書へのリンクを含め、PowerShellの実行方法に関するYouTubeのビデオチュートリアルも提供した。このコマンドはEmpireコマンド・アンド・コントロールフレームワークに関連するコードを実行するものだった。

また、ロシアのTA422（APT28/Sofacy）グループも2024年10月17日に、Googleスプレッドシートを模したリンクを含むフィッシングメールを送信。reCAPTCHAプロンプトを表示し、クリックするとPowerShellコマンドをコピー・ペーストするよう促し、最終的にSSHトンネルを作成してMetasploitを実行した。

Proofpointによると、ClickFix手法は元々2024年3月初頭にTA571やClearFakeなどのサイバー犯罪グループによって使用され始めたが、その効果的なアプローチが国家グループにも採用されるようになった。この手法を使用したキャンペーンでは、QuasarRAT、AsyncRAT、Danabot、DarkGate、Lumma Stealer、NetSupportなどの様々なマルウェアが展開されている。

from:State-Sponsored Hackers Weaponize ClickFix Tactic in Targeted Malware Campaigns

【編集部解説】

「ClickFix」という名前の攻撃手法が国家レベルのサイバー攻撃に採用されている事実は、サイバーセキュリティの世界における新たな転換点を示しています。この手法が注目すべき理由は、技術的な脆弱性を突くのではなく、人間の心理を巧みに操作して「自分で自分を感染させる」よう誘導する点にあります。

ClickFixは2024年3月に初めて確認されてから、わずか1年足らずで複数の国家支援ハッカーグループに採用されるようになりました。これは、サイバー攻撃の手法がいかに急速に進化し、共有されているかを示しています。サイバー犯罪グループから国家支援グループへと技術が伝播する流れは、デジタル世界における脅威の連続性を表しています。

特に日本の外交官を装った北朝鮮のKimsukyグループの攻撃は、日本のセキュリティ関係者にとって看過できない事例です。彼らは日本の外交官から送信されたように見せかけたメールで、米国駐在の日本大使との会議設定を依頼し、信頼関係を構築した後で悪意のあるPDFを送信しました。日本の外務省からのものと主張し、北東アジアにおける核拡散と政策に関する質問を含む文書という、極めて信頼性の高そうな文脈を作り出すことで、標的となった人物の警戒心を解いています。

また、MicrosoftのパッチチューズデーというITセキュリティの文脈で広く知られたイベントに合わせてフィッシングメールを送信するMuddyWaterの戦略も非常に洗練されています。「セキュリティを高めるための更新」という名目で、実際にはセキュリティを損なうコマンドを実行させるという皮肉な手法は、ユーザーの善意と信頼を悪用する典型例と言えるでしょう。

ClickFix攻撃の技術的な側面を見ると、PowerShellやJavaScriptなどの正規のスクリプト実行環境を悪用している点が特徴的です。これらは通常、システム管理やウェブブラウジングに必要な正規のツールであるため、完全に無効化することは現実的ではありません。この攻撃手法が特に危険なのは、ユーザー自身が意図的にコマンドを実行するため、多くのセキュリティソリューションがこれを正規の操作と区別できない点です。

Proofpointの最新情報によると、北朝鮮のTA427グループは2025年4月にも新たなClickFix攻撃を展開しており、この手法の継続的な発展を示しています。また、現在のところ中国関連のハッカーグループによるClickFix攻撃の報告はないものの、Proofpointは可視性の問題である可能性が高く、中国関連のグループも同様の手法を試している可能性があると指摘しています。

これらの攻撃が示すのは、現代のサイバー攻撃が単なる技術的な問題ではなく、社会工学的な側面を強く持つようになっていることです。最新のセキュリティソフトウェアを導入していても、最終的には「人間」という要素がセキュリティチェーンの最も弱い環となり得るのです。テクノロジーの進化がもたらす便利さと同時に、それを悪用する手法も進化し続けていることを忘れてはなりません。

【用語解説】

ClickFix:
ユーザーに問題修正やCAPTCHA認証完了などの口実で悪意のあるコマンドをコピー・貼り付け・実行させる社会工学的攻撃手法。「自分で修正する」という意味の名前だが、実際には自分で自分のコンピュータに感染させる仕組みである。KrebsOnSecurityによると、2024年3月頃から標的型攻撃で使用され始め、2025年には主流の攻撃手法となっている。

社会工学的攻撃（ソーシャルエンジニアリング）:
技術的な脆弱性ではなく、人間の心理や行動の特性を利用して情報を盗み出したり、不正アクセスを行ったりする手法。例えば、信頼できる人物や組織になりすまして情報を引き出すなど。

PowerShell:
Windowsに標準搭載されているコマンドラインシェルおよびスクリプト言語。システム管理者が使用する正規のツールだが、攻撃者にも悪用される。家のマスターキーのようなもので、適切に使えば便利だが、悪意ある人の手に渡ると危険である。

RAT（Remote Access Trojan）:
リモートアクセストロイの木馬。攻撃者が被害者のコンピュータに遠隔からアクセスし、制御するためのマルウェア。家の中に隠れたスパイカメラのようなもので、知らないうちに監視されている状態になる。

RMM（Remote Monitoring and Management）:
リモート監視・管理ソフトウェア。IT管理者が複数のデバイスを遠隔から監視・管理するための正規のツール。しかし攻撃者に悪用されると、正規のツールであるため検出が難しい。

C2（Command and Control）:
マルウェアが攻撃者のサーバーと通信するためのインフラ。感染したコンピュータに指示を送ったり、盗んだデータを受け取ったりする。

Kimsuky（TA427）:
北朝鮮の国家支援ハッキンググループ。2012年頃から活動し、主に外交、安全保障、核政策に関する情報収集を目的としており、特に朝鮮半島情勢に関わる組織や個人を標的としている。

MuddyWater（TA450）:
イランの情報保安省（MOIS）に関連するハッキンググループ。2017年頃から活動し、中東地域を中心に政府機関や重要インフラに対する諜報活動を行っている。

APT28/Sofacy（TA422）:
ロシアの軍事情報機関GRUに関連するハッキンググループ。2007年頃から活動し、ウクライナ紛争に関連する防衛産業や政府機関を標的としている。

UNK_RemoteRogue:
ロシア関連の疑わしいハッキンググループ。防衛産業や航空宇宙企業を標的とし、特にウクライナ紛争に関連する組織に焦点を当てている。

Proofpoint:
企業向けセキュリティソリューションを提供する米国のセキュリティ企業。今回のClickFix攻撃に関する詳細な調査レポートを発表した。

【参考リンク】

Proofpoint（外部）
企業向けサイバーセキュリティソリューションを提供する企業。ClickFix攻撃に関する詳細な調査レポートを発表している。

【参考動画】

【編集部後記】

皆さん、普段何気なくコピペしているコマンドやスクリプト、本当に安全でしょうか？今回のClickFix攻撃は「自分で自分を感染させる」という巧妙な手法で、私たち一人ひとりの「ちょっとした便利」への欲求を狙っています。「日本の外交官からのメール」という身近な事例も出てきました。明日は我が身かもしれません。皆さんならどんな状況で警戒心が解けてしまうか、ぜひSNSで共有してください。セキュリティは知識の共有から始まります。