Last Updated on 2025-06-04 09:47 by admin
サイバー犯罪者がゲームサイト、ソーシャルメディア、スポンサー広告に配置したリンクを通じて偽のBooking.comサイトにユーザーをリダイレクトする攻撃キャンペーンが進行中である。
このキャンペーンは2025年5月中旬に最初の兆候が確認され、リダイレクト先URLは2〜3日ごとに変更されている。
攻撃手法は偽のCAPTCHAページでクリップボードをハイジャックし、被害者にWindows Runコマンドの実行を促すものである。
実行されるPowerShellコマンドはbkngnet.comからckjg.exeファイルをダウンロードし、さらにStub.exeを実行してBackdoor.AsyncRATマルウェアに感染させる。
AsyncRATはリモートアクセストロイの木馬で、感染デバイスの完全制御を可能にし、機密情報や金融情報の窃取により金銭的損害や個人情報盗難を引き起こす可能性がある。
Malwarebytesの調査では旅行予約の40%が一般的なオンライン検索経由で行われており、詐欺師にとって多くの機会を提供している。
From: 
Victims risk AsyncRAT infection after being redirected to fake Booking.com sites
【編集部解説】
今回のAsyncRAT攻撃キャンペーンは、サイバー犯罪の手法が従来の「騙してクリックさせる」段階から「被害者自身に攻撃を実行させる」という新たな次元に進化したことを示しています。検索結果によると、類似の攻撃手法は2024年12月からMicrosoftのStorm-1865として追跡される脅威アクターによって本格化し、2025年2月現在も継続中であることが確認されています。今回の6月の事案は、攻撃対象がホテル業界から一般ユーザーまで拡大したことを意味します。
特に注目すべきは、「ClickFix」と呼ばれる偽CAPTCHAを使った「クリップボードハイジャック」という技術的手法です。従来のマルウェア配布では、ファイルのダウンロードや実行時にセキュリティソフトが検知する可能性がありました。しかし今回の手法では、ユーザー自身がWindowsの正規機能(Runコマンド)を使ってPowerShellスクリプトを実行するため、システムレベルでの検知が困難になっています。
AsyncRAT自体は2019年から存在するオープンソースのリモートアクセストロイの木馬ですが、その危険性は単なるデータ窃取にとどまりません。感染したデバイスは完全に攻撃者の制御下に置かれ、キーストローク記録、画面監視、追加マルウェアのインストールが可能になります。特に企業環境では、一台の感染から横展開によってネットワーク全体が危険にさらされる可能性があります。
この攻撃の巧妙さは、正規のWebサービス(Booking.com)への信頼を悪用している点にあります。旅行予約サイトは日常的に利用されるサービスであり、ユーザーの警戒心が薄れやすい領域です。さらに、攻撃者は2〜3日ごとにドメインを変更することで、ブラックリスト対策やセキュリティ製品の検知回避を図っています。
Storm-1865の活動履歴を見ると、2023年にはBooking.comを利用するホテル宿泊客を標的とし、2024年にはEコマースプラットフォーム利用者への攻撃を展開するなど、継続的に手法を進化させています。ClickFix手法の導入により、従来のセキュリティ対策をすり抜ける能力が大幅に向上したといえるでしょう。
テクノロジー業界への影響として、この事案はブラウザベースのセキュリティ機能の重要性を浮き彫りにしました。MalwarebytesのBrowser Guardのような製品が「Suspicious Content」を自動挿入して無効化する対策は、今後の標準的な防御手法となる可能性があります。
長期的な視点では、この攻撃手法の普及により、企業のセキュリティ教育やエンドユーザー向けの啓発活動がより重要になるでしょう。技術的な対策だけでなく、人的要因を考慮したセキュリティ設計が求められる時代に入ったといえます。
【用語解説】
AsyncRAT
2019年にGitHubで公開されたオープンソースのリモートアクセス型トロイの木馬。正規のリモート管理ツールとして開発されたが、サイバー犯罪者によって悪用されている。キーロガー、画面録画、ファイル窃取、追加マルウェアのインストールなどの機能を持つ。
ClickFix
2024年から本格化した新しいソーシャルエンジニアリング手法。偽のエラーメッセージやCAPTCHA画面を表示し、ユーザーに「修正」のためのコマンド実行を促す。実際には悪意のあるコードをクリップボードにコピーさせ、ユーザー自身にマルウェアを実行させる。
クリップボードハイジャック
ユーザーがコピーした内容を悪意のあるスクリプトが勝手に書き換える攻撃手法。特に暗号通貨のウォレットアドレスを攻撃者のものに置き換えて送金を横取りする手口で知られる。
Storm-1865
Microsoftが追跡する脅威アクター。2023年初頭から活動を活発化させ、Booking.comやEコマースプラットフォームを装ったフィッシング攻撃を実行。ClickFix手法を導入して攻撃チェーンを進化させている。
PowerShell
Microsoftが開発したコマンドライン管理ツール。正規の管理用途で使われるが、マルウェアの実行にも悪用される。ファイルレス攻撃の主要な手段として利用されることが多い。
【参考リンク】
Malwarebytes公式サイト(外部)
カリフォルニア州サンタクララに本社を置くサイバーセキュリティ企業。2008年設立で、マルウェア対策製品やBrowser Guardなどのセキュリティソリューションを提供している。
Booking.com公式サイト(外部)
1996年にオランダ・アムステルダムで設立された世界最大級のオンライン宿泊予約サイト。43言語に対応し、2,800万以上の宿泊施設を掲載している。
AsyncRAT GitHub リポジトリ(外部)
AsyncRATのオープンソースコードが公開されているGitHubページ。正規のリモート管理ツールとして開発されたが、サイバー犯罪者によって悪用されている実態がある。
Microsoft Security Blog(外部)
Microsoftのセキュリティチームが運営する公式ブログ。Storm-1865の活動やClickFix攻撃に関する詳細な分析レポートを定期的に公開している。
【参考動画】
【参考記事】
Microsoft – Booking.comなりすましフィッシング攻撃レポート(外部)
2024年12月から継続するStorm-1865によるBooking.comなりすまし攻撃の詳細分析。ClickFix手法の技術的解説と、XWorm、Lumma Stealer、VenomRAT、AsyncRAT等の配布マルウェアを詳述。
IoT OT Security News – AsyncRAT攻撃分析(外部)
ホテル業界を標的としたAsyncRAT攻撃キャンペーンの技術的分析。偽CAPTCHAからPowerShell実行までの攻撃フローと、AsyncRATの機能詳細を解説。
Check Point – 週次脅威レポート(外部)
2025年3月時点でのBooking.com偽装攻撃の継続状況と、認証情報窃取マルウェア配布キャンペーンの最新動向を報告。
【編集部後記】
今回のAsyncRAT攻撃は、2024年12月から継続する長期キャンペーンの一環として、私たちが日常的に利用するオンライン予約サイトへの信頼を悪用した巧妙な手口でした。皆さんは旅行予約の際、どのような点に注意されていますか?また、「セキュリティ確認のため」としてCAPTCHA画面で何かをコピーしてコマンド実行を求められた場合、どう判断されるでしょうか?このような進化し続ける攻撃手法について、ご自身の体験や対策のアイデアがあれば、ぜひコメント欄で共有していただけると嬉しいです。みんなで情報を交換することで、より安全なデジタル環境を作っていけるのではないでしょうか。
サイバーセキュリティニュースをinnovaTopiaでもっと読む
