クリックフィックス型マルウェアが拡大、新たなローダーと偽装アップデートで被害拡大中
著者 Mag-Info Tech editorial · 2026-06-17
ClickFix型マルウェアの拡大と新たなローダーの登場
サイバーセキュリティ業界では、ClickFixと名付けられた巧妙なソーシャルエンジニアリングを起点とする攻撃が急増している。この攻撃では、ユーザーをだまして攻撃者が用意したPowerShellコマンドを実行させ、その後にBabaDeda Loader、Lorem Ipsum Loader、Potemkinといった3種類のマルウェアローダーが展開される。これらのローダーは、情報窃取型マルウェアやリモートアクセス型トロjan(RAT)を次々と投下することで知られており、特に教育機関や金融機関が標的にされていることが複数のセキュリティベンダーによって確認されている。
従来のBabaDeda活動では、正規のインストーラーパッケージに悪意のあるペイロードを隠蔽する手法が主流だったが、今回の新たなフレームワークでは、そのコードベースを流用しつつ、ステルス性、回避性、ペイロードの柔軟性を大幅に向上させている。この進化により、従来のセキュリティツールによる検知が困難になっており、攻撃者にとっては極めて有効な攻撃手法となっている。特に、ロシアやベラルーシのシステムでは実行を回避する仕様が組み込まれている点も注目に値する。
BabaDeda Loaderの仕組みと標的の変化
BabaDeda Loaderは、ターゲットシステムのプロファイルを実行前に行い、ロシアやベラルーシのシステムでは動作を停止する仕組みが確認されている。これは、攻撃者が特定の地政学的な制約を設けていることを示しており、攻撃の選択性が高まっていることを示唆している。また、セキュリティ製品の検知を回避するためのチェックも実施され、信頼できるWindowsプロセス(例:svchost.exe)へのペイロード注入が行われる。
このローダーを介して展開されるマルウェアの一つが、.NETベースのバックドア兼情報窃取型マルウェアだ。このマルウェアは、感染したシステムから機密データを収集し、暗号化されたコマンド&コントロール(C2)サーバーとの通信チャンネルを確立する機能を持っている。具体的には、ブラウザの履歴やクッキー、保存されたパスワード、さらにはシステム情報などを収集し、攻撃者に送信することが可能だ。このような包括的なデータ収集能力により、被害者は金銭的損失やプライバシーの侵害といった深刻な被害に直面する可能性がある。
Lorem Ipsum LoaderとPotemkinの特徴と攻撃手法
Lorem Ipsum LoaderとPotemkinもまた、ClickFixを起点とする攻撃で確認されているローダーだ。Lorem Ipsum Loaderは、その名の通り、見た目には正規のテキストファイルやドキュメントのように見えるが、実際には悪意のあるペイロードが隠蔽されている。このローダーは、外部ストレージからペイロードを読み込む仕組みを持ち、実行直前にのみデコードされるため、従来のセキュリティツールによる静的解析やフォレンジック調査を困難にしている。
一方でPotemkinは、より高度な回避技術を駆使しており、特にDLLサイドローディングと呼ばれる手法を用いて、正規のアプリケーションに悪意のあるDLLを紛れ込ませる。この手法により、マルウェアは正規のプロセス内で実行され、セキュリティ製品による検知を回避することができる。また、Potemkinは外部ストレージに保存されたペイロードを読み込む「Storage Crypter」と呼ばれるステージングローダーを使用しており、この仕組みにより、マルウェアの実行前の検知がさらに困難になっている。
攻撃の流れとステージングローダーの役割
ClickFixを起点とする攻撃の流れは、まずユーザーが偽のソフトウェアアップデートや正規のアプリケーションに見せかけたパッケージをダウンロードし、実行することから始まる。このパッケージには、攻撃者が用意したPowerShellコマンドが埋め込まれており、実行されるとBabaDeda LoaderやLorem Ipsum Loader、Potemkinといったローダーが展開される。
特に注目すべきは、ステージングローダーと呼ばれる「Storage Crypter」の存在だ。このローダーは、外部ストレージに保存されたペイロードを読み込み、実行直前にデコードして実行する仕組みになっている。この仕組みにより、マルウェアの実行前の検知が極めて困難になっており、攻撃者にとっては極めて有効な回避手法となっている。また、このステージングローダーは、ZIPアーカイブ内にDLLサイドローディングを用いて展開されることもあり、攻撃の多段化が進んでいることがうかかがえる。
MEFAIのAIが生み出す本当の結果。Proプランを50ドル割引でお得に。
スポンサード · 過去の実績は将来の成果を保証するものではありません。金融アドバイスではありません。
標的となった組織と被害の実態
これらの攻撃は、主に教育機関や金融機関を標的にしていることが確認されている。教育機関では、学生や教職員の個人情報が窃取されるリスクが高く、金融機関では顧客の金融情報や取引データが狙われる可能性がある。特に金融機関の場合、窃取されたデータが悪用されると、顧客の預金口座の不正引き出しやクレジットカードの不正利用といった深刻な被害につながる可能性がある。
また、これらの攻撃では、情報窃取型マルウェアだけでなく、リモートアクセス型トロjan(RAT)も展開されることがあり、攻撃者が被害者のシステムに長期にわたってアクセスし続けることが可能になる。これにより、攻撃者は被害者のシステム内でさらなる攻撃を仕掛けることができ、被害の拡大につながる可能性がある。例えば、ランサムウェアの展開や、内部システムへの横展開といった二次的な被害が発生するリスクも高まっている。
セキュリティ対策と今後の動向
このような巧妙化するマルウェア攻撃に対抗するためには、従来のシグネチャベースの検知だけでは不十分であり、振る舞い検知やAIを活用した異常検知といった次世代のセキュリティ技術が求められる。また、エンドポイントセキュリティの強化や、定期的なセキュリティパッチの適用、ユーザーへのセキュリティ教育の徹底といった多層的な対策が必要不可欠だ。
特に、ClickFix型の攻撃に対しては、ユーザーが不審なソフトウェアアップデートや正規のアプリケーションに見せかけたパッケージをダウンロードしないよう注意することが重要だ。また、PowerShellやコマンドラインツールの使用を制限することで、攻撃の初期段階での検知と阻止が可能になる。さらに、外部ストレージからのペイロード読み込みを監視することで、ステージングローダーによる攻撃を防ぐことができる。
企業と個人が取るべき具体的な対策
企業においては、まずエンドポイントセキュリティの強化が最優先事項だ。次世代アンチウイルス(NGAV)や振る舞い検知機能を備えたセキュリティソリューションを導入し、リアルタイムでの脅威検知と対応を可能にすることが重要だ。また、ゼロトラストセキュリティモデルの導入により、ネットワーク内部での lateral movement(横展開)を防止することも有効だ。
個人ユーザーにとっては、まずソフトウェアのダウンロード元を厳密に管理することが重要だ。公式サイトや信頼できる配布元からのみソフトウェアをダウンロードし、サードパーティのサイトからのダウンロードは避けるべきだ。また、定期的なOSやアプリケーションのアップデートを実施し、既知の脆弱性を悪用されるリスクを低減することも大切だ。さらに、メールやウェブサイトからの不審なリンクや添付ファイルを開かないよう注意し、セキュリティソフトのリアルタイムスキャンを有効にすることで、マルウェアの侵入を防ぐことができる。
まとめと今後の展望
ClickFix型のマルウェア攻撃は、今後さらに巧妙化し、被害が拡大する可能性が高い。特に、BabaDeda Loader、Lorem Ipsum Loader、Potemkinといったローダーの進化により、従来のセキュリティ対策では検知が困難になっており、企業や個人が取るべき対策もより高度化していくことが予想される。セキュリティベンダーや研究機関は、これらの新たな脅威に対するリサーチを進め、迅速な検知手法や対策の開発に努める必要がある。
一方で、ユーザー側でもセキュリティ意識の向上が不可欠だ。ソーシャルエンジニアリング攻撃の手口はますます巧妙化しており、ユーザー自身がセキュリティの最前線に立つ時代となっている。今後も最新の脅威動向を注視し、常にセキュリティ対策をアップデートしていくことが、安全なデジタル環境を維持するための鍵となるだろう。
もっと見る サイバーセキュリティ&プライバシー
新型Androidトロイ malware「Rokarolla」が217の銀行・暗号資産アプリを標的に
新型Androidトロイ malware「Rokarolla」が217の銀行・暗号資産アプリを標的に。Google Play Protectを偽装し、137のコマンドで完全制御。被害を防ぐ対策と今後の動向を解説。
Steam Workshopを悪用したマルウェア拡散、Wallpaper Engineの脆弱性が狙われる
Steam Workshop上のWallpaper Engine用壁紙パッケージがマルウェア拡散に悪用されており、バックドアや暗号通貨マイニング、Steamアカウント乗っ取りのリスクが確認されている。
米司法省が初のTAKE IT DOWN法執行でAI深層偽造サイト2件を差し押さえ
米司法省がAIで作成された性的画像を掲載していたCFAKE.comとSOCFAKE.comを初のTAKE IT DOWN法適用により差し押さえ。イタリア・フランス当局との国際共同捜査で摘発された実態と今後の対策を解説。