ClickFixという新たな手口の攻撃が増加しているということです。ダイアログボックスを悪用して被害者自身の操作によりマルウェアを呼びこませるものです。なぜClickFixは増えているのでしょうか? ClickFixの背景について考えてみました。
インターネットトラフィックの51%はロボット
ClickFixはダイアログボックスを悪用して偽のメッセージを表示しユーザー自身に悪意のあるコマンドを実行させることでマルウェアに感染させる手口です。端末を操作している際にダイアログボックスが開くシーンは諸々あると思いますが、ClickFixにおいて主流になっているのがCAPTCHAやreCAPTCHAのダイアログボックスが悪用されているケースです。CAPTCHAやreCAPTCHAのダイアログボックスは操作をしているのがロボット(Bot)ではなく人間であることを証明するものです。そこにサイバー犯罪者が目をつけてClickFixという新しい手口が流行り始めたのです。
サイトがユーザーにロボットではない証明をなぜ求めるのかというと、これはセキュリティ上の理由にほかありません。Impervaによる2024年のインターネットトラフィック分析によると、人間のトラフィックは49%にとどまりインターネットトラフィックの半分を超す51%がBotだということです。Botはサイバー空間で任務を遂行する自動化プログラムで、一般によく知られているものにウェブサイトの情報を収集してデータベース化するクローラーがあります。Botの中には悪意をもってサイバー空間を徘徊しているものが少なからずあり、さらに悪質なBotの中には高度な機能を備えたものがあり、それらBotによってクレデンシャルスタッフィング攻撃やブルートフォース攻撃が自動化されて行われている実態があります。
このため操作をしている者がBotではなく人間であることを確認するためにCAPTCHAやreCAPTCHAを導入するサイトが増えているのです。また、CAPTCHAやreCAPTCHAによる認証があることでセキュリティ上の安心感をユーザーに与えることにもつながっています。しかし、サイバー犯罪者がそれを逆手にとって偽装CAPTCHAを表示させて、人間であることを証明するための指示を装って実際には悪意のあるコマンドを実行させるのがClickFixです。サイバー空間における悪質なBotに対処するために人間であることを認証する仕組みがつくられ、それが普及するとその仕組みを偽装した手口で攻撃が行われるようになったのです。
ソーシャルエンジニアリングで使われる流出個人データ
とはいえClickFixの手口は、メールを使って誘導するケースにおいては従来のフィッシングとそんなに変わりはありません。ターゲットにリンクの付いたメールが送信され、ターゲットはリンクを開いた段階で攻撃者の「領域」に入ります。これまでのフィッシング攻撃ではリンクを開くと本物のサイトに似せたフィッシングサイトがつくられていてIDやパスワード、個人情報を入力させたり、クレジットのデータを入力させてデータや金銭が窃取されたわけですが、ClickFixでは偽装CAPTCHAが表示され、指示に従って操作すると知らぬ間に悪意のあるコマンドを実行させられてマルウェアに感染してしまいます。通常のフィッシングメールでもそうですが、無作為にばらまいているメールであれば受信者は不審に感じてメールを無視することが多いと思います。
しかし、BtoBにおいて標的を絞って取引先等を装ったメールが送信された場合、受信側がメールを開く割合は高くなるでしょうし、その内容が明らかにおかしくない限り、メールに記載されているリンクを開く確率は高くなると思います。そう考えるとClickFixのようなソーシャルエンジニアリングを駆使した手口が流行る背景にはターゲットを絞り込める個人データの流出があり、サイバー犯罪者は窃取した個人データを活用することで騙しの手口をより効果的なものにしていると思われます。基本的なことですが、企業や組織は保有している個人データを流出させない、そして万一、流出した場合は情報を開示してリスクを告知することが重要だと思います。
【出典・参考】
https://jpn.nec.com/cybersecurity/intelligence/250514/index.html
https://cloud.google.com/security/products/recaptcha?hl=ja
https://www.cloudflare.com/ja-jp/learning/bots/how-captchas-work/