Microsoftの脅威インテリジェンスチームが、DNS(ドメインネームシステム)の名前解決機能を巧みに悪用してマルウェアのペイロードを取得する、新たなClickFixソーシャルエンジニアリング攻撃の詳細を公開しました。2年前から広がり続けるClickFix手法がさらに進化し、一般的なネットワーク通信に紛れ込む巧妙な手口で検知を回避しようとしています。
この記事のポイント
- Windowsの「ファイル名を指定して実行」からnslookupコマンドを実行させ、攻撃者が管理するDNSサーバーから次段階のペイロードを取得する新手法が確認された
- DNS応答の中に埋め込まれたコードを抽出・実行することで、従来のWeb通信ベースの検知を回避する仕組み
- 最終的にModeloRATというPythonベースのリモートアクセス型トロイの木馬が展開され、スタートアップフォルダへの永続化も行われる
新型ClickFix攻撃の仕組み
今回Microsoftが公開した攻撃手法は、従来のClickFixの進化形です。攻撃者はまず、ユーザーを騙してWindowsの「ファイル名を指定して実行」ダイアログからコマンドを入力させます。このコマンドはnslookup(ネームサーバー検索)を利用したDNSクエリを実行しますが、通常のシステムDNSリゾルバではなく、攻撃者が管理する外部DNSサーバーに対して問い合わせを行う点が特徴的です。
Microsoftは「出力からName:フィールドのDNS応答を抽出し、それを第2段階のペイロードとして実行する」と説明しています。DNSベースのステージングを採用することで、従来のHTTP/HTTPSによるダウンロードへの依存度を下げ、悪意のあるトラフィックを正規のDNS通信に紛れ込ませることが可能になります。これにより、ネットワーク監視ツールやファイアウォールによる検知が格段に難しくなります。
攻撃チェーンの全体像
初期のDNS検索が実行されると、攻撃は以下の段階で進行します。
- 悪意あるPythonスクリプトのダウンロード: 外部サーバー(azwsappdev[.]com)から悪意のあるPythonスクリプトがダウンロードされます
- 偵察と探索: ダウンロードされたスクリプトがシステムの偵察・情報収集を実行します
- ModeloRATの展開: Visual Basic Script(VBScript)を通じて、Pythonベースのリモートアクセス型トロイの木馬「ModeloRAT」が展開されます
- 永続化の確立: Windowsショートカット(LNK)ファイルがスタートアップフォルダにVBScriptを配置し、システム起動時に自動的にマルウェアが実行される仕組みを確立します
この一連の流れは、DNSという普段意識されない通信プロトコルを入口にすることで、ユーザーにもセキュリティ製品にも気づかれにくい設計になっています。
同時に確認された関連脅威
ClickFix手法を利用した攻撃は今回のケースだけにとどまりません。セキュリティ研究者たちは、同様のベクターを使った複数のキャンペーンを同時期に確認しています。
Lumma Stealer: セキュリティ企業Bitdefenderは、偽のCAPTCHA画面を使ったキャンペーンが急増していると報告しました。この攻撃ではAutoItベースのマルウェアローダー「CastleLoader」を配布し、最終的にLumma Stealerを展開します。このスティーラーは暗号資産ウォレットやブラウザ拡張機能を標的とし、インドで最も高い感染率を記録しています。
StealCとStealerium: 侵害されたWebサイト上で同様のClickFix攻撃チェーンを通じて配布される情報窃取型マルウェアも確認されています。
Odyssey Stealer: macOSを標的とした亜種で、フィッシングや不正広告(マルバタイジング)を通じて暗号資産の認証情報を狙います。
Lumma Stealerの感染は、インド、フランス、アメリカ、スペイン、ドイツ、ブラジル、メキシコ、ルーマニア、イタリア、カナダに集中しており、これらのキャンペーンのグローバルな広がりを反映しています。
なぜClickFixは依然として有効なのか
Bitdefenderは「ClickFixの有効性は、技術的な脆弱性ではなく、手順への信頼を悪用する点にある」と強調しています。ユーザーは攻撃者から提示された指示を、正当なトラブルシューティング手順だと認識してしまうため、セキュリティ意識による防御を迂回できてしまうのです。
これは「ソーシャルエンジニアリング」の本質を突いた指摘です。どれだけ高度なセキュリティソフトを導入しても、ユーザー自身がコマンドを入力してしまえば、技術的な防御層は無力化されます。攻撃者は「あなたのPCに問題があります。以下のコマンドで修正できます」といった文言で、ユーザーの善意や不安につけ込みます。
知っておくと便利なTips
- 不審なDNSクエリの監視: 通常のDNSリゾルバ以外への名前解決要求(特にTXTレコードやNSレコードの異常なクエリ)はDNSトンネリングやこの種の攻撃のサインである可能性があります
- 「ファイル名を指定して実行」の制限: グループポリシーで一般ユーザーの「ファイル名を指定して実行」ダイアログの使用を制限することで、この攻撃ベクターを軽減できます
- コマンド実行の教育: Webサイトやポップアップから「このコマンドを実行してください」と促された場合、それは攻撃である可能性が極めて高いという認識を組織全体で共有しましょう
まとめ
今回Microsoftが公開した新型ClickFix攻撃は、DNSという基盤的なネットワークプロトコルを悪用することで、従来のWeb通信ベースの検知を巧みに回避する手法です。nslookupコマンドという一見無害なツールを踏み台にし、最終的にはリモートアクセス型トロイの木馬の展開と永続化まで到達します。ClickFix手法は技術的脆弱性ではなく人間の心理を突くため、技術的対策だけでなく、ユーザー教育やコマンド実行に対する組織的なポリシー整備が不可欠です。不審な指示に従ってコマンドを実行しないという基本的な意識が、最も有効な防御策となります。
📎 元記事: https://thehackernews.com/2026/02/microsoft-discloses-dns-based-clickfix.html
コメント