最近、偽のブルースクリーン(BSOD)やCAPTCHA画面に見せかけて、ユーザーに悪質な操作を促すサイバー攻撃が急増しています。特に「PHALT#BLYX」キャンペーンでは、正規サイトを装った偽ページに誘導し、ClickFixと称するツールで遠隔操作ソフトを展開する手口が確認されています。
誤って指示に従ってしまうと、証拠が消失する恐れがあり、後から原因や感染経路を特定するのが困難になります。放置すれば被害は社内ネットワーク全体に広がり、深刻な情報漏えいや乗っ取りにつながる可能性もあります。
そこで本記事では、PHALT#BLYXとClickFixに関連する攻撃の特徴や仕組み、見分け方、初動で行うべき安全な対応方法について解説します。
| 本ページには広告が含まれています。本コンテンツ経由で商品・サービスの申込みがあった場合、企業から送客手数料を受け取ることがあります。 |
PHALT#BLYXとClickFix攻撃の概要
PHALT#BLYX(フォルト・ブリックス)は、悪質なソーシャルエンジニアリングと、偽のユーザーインターフェース(Fake UI)を組み合わせた高度なフィッシングキャンペーンです。
この攻撃では、「PCの不具合を修復する」と偽ってClickFixというツールの実行をユーザーに促し、最終的にマルウェアが展開されます。
ClickFixは一見すると修復ツールのように見えますが、内部ではPowerShell(Windowsの自動化スクリプト実行環境)やMSBuild(Visual Studioのビルドツール)などの正規のWindowsコンポーネントを悪用して、DCRatなどの遠隔操作型マルウェア(RAT)をインストールします。
PHALT#BLYXキャンペーンの特徴
PHALT#BLYXは、特定の国や業界を狙ったテーマ型のフィッシング攻撃です。
攻撃者は、検索エンジンの広告枠やSEOを利用して、ユーザーを偽のサポートサイトやエラー通知ページへ誘導します。
誘導先では、Windowsのブルースクリーン(BSOD)風の画面や、CAPTCHA(画像認証)を模したセキュリティ確認画面が表示されます。これにより、ユーザーはあたかも正規のWindowsサポートであるかのように錯覚し、ClickFixのダウンロードや実行を促されます。
この段階で操作を行ってしまうと、不正なスクリプトが裏で実行され、最終的にはDCRatなどのマルウェアが端末にインストールされてしまいます。
見た目に惑わされず、画面の正当性やリンクの出どころを冷静に確認することが極めて重要です。
ClickFix攻撃とは何か
ClickFix攻撃は、ユーザーの不安をあおり、自らマルウェアを実行するよう誘導するソーシャルエンジニアリング手法です。
攻撃者は、PCの不具合やセキュリティ警告を装った偽の画面(例:ブルースクリーン風・CAPTCHA風)を表示し、「今すぐ修復」などの文言でユーザーを操作させようとします。
ClickFixを実行してしまうと、遠隔操作マルウェア(RAT)の導入、個人情報の窃取、社内ネットワークへの感染拡大といった被害に発展する可能性があります。
画面は本物に酷似しており、正規の手続きと誤認して操作してしまうリスクが非常に高いため、特定のパソコン操作を要求されるなど、少しでも違和感を覚えた場合は決して安易にクリックせず、専門家の確認を仰ぐことが重要です。
ClickFix(クリックフィックス)攻撃とは?特徴・被害事例・有効な対策を解説>
偽ブルースクリーンを悪用した攻撃の流れ
PHALT#BLYXとClickFixの攻撃によって、ユーザー自身が危険な操作を行うように誘導されます。
以下に、典型的な攻撃フローを段階別に整理します。
偽ブルースクリーンを悪用した攻撃の流れ
フィッシングメールと偽サイトへの誘導シナリオ
攻撃は、「Windowsライセンスの確認」「予約のキャンセル通知」などを装ったフィッシングメールから始まるケースが多く見られます。
これらのメールには、短縮URLや「今すぐ確認」ボタンなどのリンクが仕込まれており、クリックすると偽のサポートサイトやセキュリティ確認ページ(CAPTCHA風UI)へ誘導されます。
誘導先のWebページは、正規のセキュリティツールやMicrosoft公式のサポート画面に酷似しており、違和感を覚えさせないように設計されています。
ユーザーがそのまま画面の指示に従って操作を続けると、マルウェアを展開するための初期スクリプトが実行される構造になっています。
偽BSOD画面とPowerShellコマンド実行の誘導
誘導された先では、PCが深刻なクラッシュを起こしたかのように見せかける偽のブルースクリーン(Fake BSOD)が表示されます。
この画面では、操作不能を装った上で、「Ctrl+Shift+I」などのキー入力や、「サポートを受ける」「修復を開始する」といったボタンのクリックを促されることがあります。
この操作により、内部的にPowerShellスクリプトが自動実行されるよう設計されています。
PowerShellはWindows標準の自動化ツールであるため、ユーザーの許可を得ずとも静かにスクリプトが走ることが可能であり、これを悪用することでマルウェアのダウンロードや外部通信が行われます。
この段階では、以下のような動きが確認されることがあります。
- 外部サーバーからのペイロード(実行ファイルや設定情報)の取得
- 一時ファイルやレジストリの改ざん
- 次ステージとなる実行ファイル(例:MSBuildプロジェクト)の準備
画面が「操作不能」または「反応が鈍い」ように見える場合でも、裏では攻撃が進行している可能性があるため要注意です。
MSBuild(v.proj)を介したDCRat等マルウェアの展開
次のステージでは、Windowsに標準で含まれるビルドツール「MSBuild.exe」が悪用されます。
攻撃者は、.vproj(Visual Studioのプロジェクトファイル)形式のスクリプトを用いて、MSBuildに悪意あるコードを実行させるという手法を取ります。
この方式には以下のような特徴があります。
- MSBuildは正規のMicrosoft製ツールであるため、セキュリティ製品に不審と判定されにくい
- 実行時に追加インストール不要でスクリプトを実行できる
- ファイルレス(実体を残さない)攻撃も可能で、検知・分析が難しくなる
このフェーズでは、最終的にDCRat(リモートアクセス型マルウェア)などがインストールされます。
一度感染すると、攻撃者は以下のような操作が可能になります:
- スクリーンショットの取得やキーロガーの展開
- ファイルのアップロード・ダウンロード・削除
- 任意のコマンドの実行
- 被害端末を経由したネットワーク内スキャンや横展開(他端末の探索と感染)
MSBuild経由の実行は、Living off the Land(環境にある正規ツールを悪用する)手法の典型例であり、標的型攻撃における定番のテクニックです。
インシデント対応とフォレンジック調査の要点
ClickFixなどのサイバー攻撃では、見た目には「操作ミス」や「ソフトの誤作動」に見えるケースが多く、気づかぬまま被害が拡大することがあります。誤った対応を避け、証拠と原因を正しく残すには、初動での正確な判断と専門的な支援が重要です。
インシデント対応とフォレンジック調査の要点
端末隔離とログ・証拠保全の手順
感染が疑われる端末に対しては、すぐに初期化したりファイルを削除するのではなく、まずネットワークからの切り離し(隔離)を行い、操作ログやイベント履歴の保全を優先します。とくにPowerShellの実行履歴やMSBuildの利用痕跡などは、攻撃の証拠として非常に重要です。
また、ユーザーが「誤って操作した」内容を再現するためにも、証拠を改変せずに保存できるフォレンジック対応が必要になります。
手順
- 対象端末のネットワーク接続を遮断(Wi-Fi/LANを無効化)
- イベントビューアー、PowerShellログ、MSBuild使用履歴などのログを退避
- 端末全体のイメージ取得とハッシュ値による整合性確保
被害範囲の特定と再発防止に向けたフォレンジックの役割
フォレンジック調査では、単に「感染したかどうか」だけでなく、「いつ・どこから・どのように攻撃が始まったか」を時系列で明らかにします。これにより、社内ネットワークへの横展開の有無、盗まれたデータの範囲、外部通信の内容などを明らかにします。
【解説】フォレンジック調査とは?調査の流れや専門会社を紹介>
このような調査は専門のツールや専門知識、技術者が必要です。その理由はClickFixなどのサイバー攻撃も進化しており、一般的なログ調査やウイルスソフトによる検知だけでは不十分な場合があるためです。専門家にフォレンジック調査を依頼すると以下のような調査が行われます。
- フォレンジック調査会社に調査を依頼する
- ログとファイル痕跡の調査や遠隔操作の痕跡やC2通信ログの特定を行う
- 調査報告書の作成と、再発防止施策の提案
このような専門家による調査を行うことで、どの操作が被害に直結していたのか、実際に感染や情報流出が起きたのか、より正確に把握することができます。加えて、調査会社が作成した調査結果報告書は第三者の手による客観的な調査とみなされ、社内報告や取引先説明にも活用できる場合があります。
編集部おすすめ調査会社:デジタルデータフォレンジック(おすすめ度)
サイバー攻撃や情報漏洩といった、幅広いインシデントに対してフォレンジック調査を行っている専門会社をご紹介します。
こちらの業者は、相談件数が39,000件を超え、民間の調査会社でありながら官公庁や大手企業との取引実績も多く信頼できるため、幅広い調査に対応していておすすめです。もちろん法人だけでなく、個人のハッキングやサポート詐欺調査などの相談も受け付けています。
まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。
| 費用 | ★見積り無料 まずはご相談ください |
|---|---|
| 調査対象 | PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など |
| サービス | 情報漏洩調査、ハッキング・不正アクセス調査、マルウェア・ランサムウェア感染調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など |
| 特長 | ✓累積ご相談件数39,451件以上 ✓国際基準をクリアした厳重なセキュリティ体制(ISO認証、プライバシーマーク取得済) ✓警視庁からの捜査協力依頼・感謝状受領の実績多数 |
デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計3万9千件以上の豊富な実績があります。
規模が大きな調査会社でありながら、個人端末のハッキング調査、不正アクセス調査などの実績もあるようですし、24時間365日の相談体制、ニーズに合わせたプランのカスタマイズなど、サービスの利用しやすさも嬉しいポイントです。
サイバー攻撃調査以外にも幅広い調査に対応しているだけでなく、ケースごとに専門チームが調査対応を行っているとのことで、高品質な調査が期待できます。さらに、警察への捜査協力も行っているなど、信頼がおける専門業者です。
デジタルデータフォレンジックの評判を徹底調査|特徴・料金・依頼前の流れを解説>
相談・見積りを“無料“で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。
ClickFix型攻撃に対する技術的対策とユーザー訓練
PHALT#BLYXやClickFixに代表される攻撃は、従来のマルウェア対策では検出が困難で、ユーザーの操作ミスを前提とした手口が多く見られます。技術的な防御だけでなく、従業員が不審な挙動に気づける体制を整えることが、組織のセキュリティレジリエンスを高める鍵となります。
エンドポイント保護とスクリプト/ビルドツールの監視・制御
EDR(Endpoint Detection and Response)や次世代アンチウイルスの導入に加え、PowerShellやMSBuildなどの実行制限や監査ログの取得が有効です。スクリプトベースの攻撃は見た目に現れにくいため、実行履歴の監視や許可リストの設定が効果的です。
手順
- PowerShell実行ポリシーの制限とログ取得
- MSBuild.exeの利用状況把握とアクセス制御
- EDRの導入とアラート設定見直し
メール・Webゲートウェイによるフィッシング/C2通信対策
偽装メールや広告による感染拡大を防ぐには、外部との通信の入り口と出口を厳しく監視する必要があります。特にショートURLや難読化スクリプトは標準のフィルタで見落とされることもあるため、分析ルールのカスタマイズや自動隔離の運用が推奨されます。
手順
- メールゲートウェイのURL展開/検疫設定
- Webフィルタリングのカテゴリ精査とC2検知ルール導入
- DNSログやプロキシログの収集と長期保存
ユーザー教育と疑わしい画面・コマンドへの気付き強化
ソーシャルエンジニアリング型の攻撃では、最終的な感染のトリガーが「ユーザーのクリック」であるケースが多く見られます。日常的に「警告が本物か」を見極める訓練や、報告しやすい体制の整備が再発防止につながります。
フィッシング訓練とインシデント対応演習による組織力向上
社内で定期的な訓練を実施し、実際の画面表示や警告文言に近いシナリオでユーザーの反応を確認します。また、被害が発覚した際の社内連絡・初動対応の流れをシミュレーションすることで、万一の際の混乱を最小限に抑えることができます。
手順
- 疑似メール訓練と行動分析(開封・クリックの追跡)
- 疑似BSOD画面を用いた気付き訓練
- CSIRTや対応部署の初動演習(ロールプレイ含む)
まとめ
本記事では、PHALT#BLYXとClickFixに関連するサイバー攻撃の特徴と手口、初動で行うべき対応、フォレンジック調査によるリスクの可視化について解説しました。
- 偽BSODやCAPTCHA風の画面でユーザーを騙すClickFix攻撃が増加中
- MSBuildやPowerShellを悪用し、DCRat等の遠隔操作マルウェアを展開
- 初期化や削除よりも、まずは証拠の保全とネットワーク隔離が重要
- ログ調査や痕跡解析には、フォレンジック調査の活用が有効
- ユーザー教育やスクリプト監視体制の整備も再発防止に直結
社内対応には限界があるケースも多いため、不審な挙動に気づいた時点で、専門調査会社への相談を検討することが被害抑止と正確な原因特定の鍵となります。