-
Analyst's Choice
Cyber Intelligence
フィッシング
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
Cyber Intelligence
OSINT
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
新たなFileFix攻撃はキャッシュスマグリングを使ってセキュリティソフトを回避
BleepingComputer – October 8, 2025
ソーシャルエンジニアリング攻撃手法「FileFix」から派生した新たな手口について、サイバーセキュリティ企業Expelが解説。これは、FileFixとキャッシュスマグリングを組み合わせてセキュリティソフトウェアによる検出を回避し、ターゲットシステムへ密かに悪性ZIPアーカイブをダウンロードさせるものだという。
FileFixとは
FileFixとは、ClickFixと呼ばれるソーシャルエンジニアリング戦術に着想を得た研究者「Mr.d0x」によって考案された手法。ClickFixが「エラーの修正のため」「CAPTCHA認証のため」などの口実で悪意あるコマンドをOSのダイアログにコピー・ペーストさせるものであるのに対し、FileFixはWindows ファイルエクスプローラーのアドレスバーを使って密かにPowerShellスクリプトを実行させる。Mr.d0xがこの手法を公開して以来、Interlockランサムウェアグループやその他の脅威アクターらが自らの攻撃にFileFixを取り入れるようになったと報告されている。
FileFix + キャッシュスマグリング
キャッシュスマグリング
今回のFileFixの新たな亜種はサイバーセキュリティ研究者P4nd3m1cb0y氏によって最初に発見されたもので、Expelがさらなる詳細をブログ記事で紹介している。これによると、攻撃ではFortinetを装うフィッシングページが使われており、このフィッシングページに訪問者がアクセスすると、JavaScriptが実行されてブラウザに「/5b900a00-71e9-45cf-acc0-d872e1d6cdaa」というURIからデータを取得するよう指示。このHTTPのContent-Typeヘッダは「image/jpeg」に設定されているため、ブラウザはこれを自動的にファイルシステム上にキャッシュする。ブラウザはこのファイルを正規の画像として扱うものの、実際にはそうではなく、当該キャッシュファイルには悪意ある実行ファイルFortiClientComplianceChecker.exeが含まれている。攻撃者は、キャッシュスマグリングと呼ばれるこの手口により、この後のFileFix攻撃で用いる実行ファイルを密かに準備しておく。
FileFix
FileFixのルアーとなるのは、同フィッシングページ上で開かれる、「Fortinet VPNのコンプライアンスチェック」とされるものを行うためのダイアログ。このダイアログにはネットワークシェア上にあるFortinetプログラムへの正規のネットワークパスのようなもの(\\Public\Support\VPN\ForticlientCompliance.exe)が記されており、ターゲットユーザーに対し、これをコピーしてからファイルエクスプローラーを開き、アドレスバーにペーストしてコンプライアンスチェックを実施するよう指示。しかしユーザーがこの指示に従うと、139個のスペースを使ったパディングにより隠されていた悪性PowerShellコマンドが実行されることになる。
このコマンドはヘッドレスモードで実行され、ユーザーに気付かれることなく「 %LOCALAPPDATA%\FortiClient\compliance」というフォルダーを作成。続いて先ほどキャッシュスマグリングにより準備されたChromeのキャッシュファイルを「%LOCALAPPDATA%\Google\Chrome\User Data\Default\Cache\Cache_Data\」からコピーし、先ほど作成したフォルダーにペーストする。その後、同ファイル内のComplianceChecker.zipが抽出・解凍され、その中のFortiClientComplianceChecker.exeが実行されて悪意あるコードの実行に繋がるという。
検出の回避
この手法では、最初のフィッシングページも悪性PowerShellスクリプトもあからさまな形でファイルをダウンロードすることがなく、行われるのはブラウザによる偽の「画像」のキャッシュのみ。このため、Webリクエストを経ることなくZIPファイルをローカルシステムへ仕込むことが可能で、さまざまなタイプのセキュリティ製品をバイパスすることができるという。
ClickFixにも引き続き警戒を
10月8日にはこの新たなFileFix手法に関するExpelの解説記事が公開されたのに加えて、パロアルトネットワークスのUnit 42がClickFix風ルアーの作成を自動で行える新たなキット「IUAM ClickFix Generator」について報告している。このキットではCloudflare CAPTCHA認証ページを模倣したClickFixページを作成し、ページタイトルやテキストのカスタマイズ、カラースキームの選択、クリップボードに仕込むペイロードの設定などを行うことができるとされる。Unit 42が観測したあるキャンペーンでは同キットで作成されたClickFixページがDeerStealerマルウェア(Windows)の展開に使われていたほか、別のキャンペーンにおいては、最終的にmacOS向けスティーラーマルウェアOdysseyの配布に繋がるClickFixページがこのキットによって作成されていたという。
このようにClickFixやFileFixが多様化する中、企業や組織での対策においては従業員教育を実施し、Webサイトからテキストをコピーしてはならないこと、そしてそれをOSのダイアログボックスで実行してはならないことを周知することが重要になる。
【開催決定!】日本最大級サイバー(脅威)インテリジェンスイベント
サイバーインテリジェンスイベント「Cyber Intelligence Summit 2025」を11月に開催します!
サイバー脅威インテリジェンスとセキュリティ戦略についての国際セキュリティカンファレンス「Cyber Intelligence Summit 2025」を2025年11月5日〜7日、ベルサール虎ノ門にて開催します。
3大メガバンクスペシャル対談に加え、JC3、公安調査庁、楽天、リクルート、パナソニックなどからスペシャリストが登壇!海外からもアナリストや専門家が多数登壇予定です!
開催概要
名 称:Cyber Intelligence Summit 2025
日 程:2025年11月5日(水)、6日(木)、7日(金)
会 場:ベルサール虎ノ門(オンライン配信無し)
主 催:株式会社マキナレコード
料 金:フルパス ¥10,000|展示パス 無料
翻 訳:英日同時通訳付き
登 録:特設サイトより事前登録
Day,01&02 一般企業中心(官公庁の方も歓迎)
民間企業においてサイバー脅威インテリジェンスに携わる部門のご担当者(情報セキュリティ部門、リスク管理、経営企画、IT・CISO室など)、またはその関連分野に関心をお持ちの方。官公庁・自治体のサイバー対策・情報分析部門にご所属の方もご参加いただけます。
Day,03 官公庁限定(主に法執行機関)
国内の官公庁、自治体、法執行機関(警察庁・都道府県警察、防衛省関連機関等)において、サイバー対策、情報保全、脅威インテリジェンス業務に携わる職員の方。
※Day3は官公庁、自治体、法執行機関所属の方に限りご参加いただけます。
※個人名義や企業所属でのご登録はできません。
とは?.jpg)
