ユーザーをだまし悪質コマンド実行させる

　サイバー攻撃の基本の1つは、ユーザーをだますこと。

いわゆるソーシャルエンジニアリングである。

ユーザー自身に危険な操作をさせることで被害を与える。

例えば、フィッシング詐欺ではメール中のリンクをクリックさせる。

特定の標的型攻撃では、メールに添付したマルウエアを実行させる。

　こういった攻撃は現在でも猛威を振るっているが、セキュリティー意識の高まりによって警戒するユーザーも増えている。

そこで攻撃者は、今までになかったような手口を編み出している。

その1つが、2024年夏ごろから急増している「ClickFix（クリックフィックス）」である。

一体、どのような攻撃なのだろうか。

エクスプローラーで悪質コマンドを実行

　ClickFixでは、「アクセスしているのが人間であることを確認するために、以下の操作をしてください」として危険な操作をさせる。

　具体的には「Windowsキー＋R」を押させて「ファイル名を指定して実行」を開かせ、そこに悪質なコマンドをコピーさせて実行させる。

ポイントは、ユーザーになじみがない操作をさせること。

危険であることに気がつかないので、攻撃者の意のままに動いてしまう恐れがある。

　FileFixではエクスプローラーを悪用する。

エクスプローラーのウインドー上部には、フォルダーの場所（パス）を表示するアドレスバーがある。

ここにパスを入力すればその場所に直接移動できるが、それだけではない。

アドレスバーにcmdやPowerShellといったコマンドを入力すると実行できるのだ。

　また、ファイルを選んでアップロードできるボタンを生成するHTMLのinput要素（<input type="file">）を使ってWebページにファイルのアップロードボタンを用意しておけば、Webページからエクスプローラーを呼び出せる。

　そこでユーザーを「わなページ」に誘導し、そのWebページ中のアップロードボタンを押させる。

そして表示されたエクスプローラーのアドレスバーに悪質なコマンドをコピーさせて実行させる。

　そうすれば、ユーザーのパソコンにマルウエアを感染させるようなことが可能になるのではないだろうか――。

これがmr.d0x氏の考えた攻撃シナリオだ。

mr.d0x氏が公開しているデモを基に、もう少し具体的に見ていこう。

　エクスプローラーは、一般的にファイルへのアクセスに使用されている。

そこでわなページでは、あるファイルがユーザーと共有されていると主張し、エクスプローラーでファイルにアクセスするよう指示する。

そのようにすると、ユーザーはだまされやすいだろうとmr.d0x氏は言う。