Microsoftが新たなClickFix攻撃の変種を公開しました。この手法はDNSクエリを悪用してマルウェアを配信するもので、ClickFixキャンペーンにおいてDNSチャネルが使用された初めての事例として注目されています。攻撃者はnslookupコマンドを介してPowerShellペイロードを取得・実行する巧妙な仕組みを構築しており、従来のセキュリティ対策をすり抜ける危険性があります。
この記事のポイント
- ClickFix攻撃がDNSクエリを初めて悪用し、nslookupコマンドでペイロードを取得する新手法が確認された
- DNSトラフィックは通常のネットワーク監視では見逃されやすく、従来のWeb通信ベースの検知を回避できる
- 最終的にModeloRATというPythonベースのリモートアクセス型トロイの木馬が展開される
- DNS TXTレコードを悪用するKongTukeという関連キャンペーンも同時期に確認されている
ClickFix攻撃とは何か
ClickFixは、ユーザー自身に悪意のあるコマンドを実行させるソーシャルエンジニアリング攻撃の手法です。攻撃者は偽のCAPTCHAページやトラブルシューティング指示を表示し、ユーザーに対してWindowsの「ファイル名を指定して実行」ダイアログ(Win+R)を開かせ、Ctrl+Vで事前にクリップボードにコピーされた悪意のあるコマンドを貼り付けさせ、Enterキーで実行させるという手順を踏ませます。技術的な脆弱性を突くのではなく、人間の行動を利用する点が特徴であり、自動化されたセキュリティ防御を無効化します。Microsoftはこれまでに、FileFix、JackFix、ConsentFix、CrashFix、GlitchFixなど、複数のClickFix変種を文書化しています。
DNS悪用による新たな攻撃チェーンの詳細
今回の新手法では、cmd.exeを介してnslookupコマンドを実行します。重要な点は、システムのデフォルトDNSリゾルバではなく、攻撃者が管理するハードコードされた外部DNSサーバーに対してDNSルックアップを行うことです。DNSレスポンスの「Name:」フィールドを抽出・フィルタリングし、その内容を第2段階のペイロードとして実行します。Microsoftはこの手法を「軽量なステージングまたはシグナリングチャネル」と表現しています。
このアプローチには攻撃者にとって複数の利点があります。まず、従来のHTTPリクエストへの依存を減らせること。次に、悪意のある活動を正常なDNSトラフィックに紛れ込ませられること。さらに、第2段階のペイロード実行前に新たな検証レイヤーを設けられるため、セキュリティ研究者による解析を困難にします。
攻撃の流れ(ステップバイステップ)
攻撃チェーンは以下のように進行します。まず、ユーザーがフィッシングやマルバタイジングを通じて偽のCAPTCHAページやトラブルシューティング画面に誘導されます。次に、画面の指示に従ってWindowsの「ファイル名を指定して実行」ダイアログからnslookupコマンドを実行します。このコマンドは攻撃者が管理するDNSインフラに問い合わせを行い、レスポンスデータから実行可能なコンテンツが抽出されます。その後、攻撃者のドメイン(azwsappdev[.]comなど)からZIPアーカイブがダウンロードされ、アーカイブ内の悪意のあるPythonスクリプトがシステム偵察コマンドを実行します。最終段階では、VBScriptがWindowsのスタートアップフォルダにショートカットを作成し、システム起動時にModeloRATが自動的に起動する永続化メカニズムが確立されます。
DNS TXTレコードを悪用するKongTukeキャンペーン
DNSベースの攻撃として、KongTukeと呼ばれる関連キャンペーンも2025年12月末から確認されています。KongTukeはDNS TXTレコードを悪用してClickFixスクリプト内で悪意のあるPowerShellコマンドを配信します。DNS TXTレコードはもともとドメインに関するテキスト情報を格納するために設計されたものですが、攻撃者はこれをコマンド配信メカニズムとして転用しています。DNS TXTレコードは迅速に更新できるため、ペイロードのローテーションやブロックリストの回避が容易であり、被害者のマシン上に残るフォレンジック痕跡も少ないという利点があります。
知っておくと便利なTips
- Windowsの「ファイル名を指定して実行」ダイアログでコマンドの貼り付けを求めるWebサイトは、ほぼ確実に攻撃サイトです。正規のサービスがこのような操作を要求することはありません
- 企業ネットワークでは、外部DNSサーバーへの直接クエリ(特にnslookupによるハードコードされたサーバーへの問い合わせ)を監視・制限することが有効です
- DNS TXTレコードへの異常なクエリパターンを検知するネットワーク監視ルールの導入も検討すべきです
- ClickFix攻撃は技術的な脆弱性ではなくユーザーの行動を利用するため、従業員へのセキュリティ意識向上トレーニングが最も効果的な防御策となります
まとめ
今回のDNSベースのClickFix攻撃は、ソーシャルエンジニアリングと技術的回避手法を組み合わせた巧妙な攻撃の進化を示しています。DNSトラフィックは一般的にHTTP通信よりも監視が緩いため、攻撃者にとって非常に魅力的なチャネルとなっています。ユーザー自身にコマンドを実行させるという人的要素が自動防御を無効化し、DNS配信チャネルがネットワークレベルの検知を回避するため、従来のセキュリティツールだけでは防御が極めて困難です。組織としては、エンドポイント保護の強化、DNS監視の徹底、そして何よりユーザー教育による「自分でコマンドを実行しない」という意識の浸透が重要です。Microsoftが複数のClickFix変種を追跡していることからも、この攻撃手法は今後もさらに進化していくことが予想されます。
コメント