本記事では、Elastic Security Labsが公開しているレポートを紹介します。こちらのレポートは、単なる「新種マルウェア発見のお知らせ」ではなく、攻撃の全体像を丁寧に解体し、防御側が何をすべきかを具体的に示しています。
攻撃の概要:5段階で忍び込む「ClickFix」キャンペーン
Elastic Security Labsが発見したこのキャンペーン、通称「ClickFix」は、ソーシャルエンジニアリング主導型の攻撃です。システムの脆弱性ではなく「人の心理」を利用して騙す手法で、自前の悪意あるサイトを用意するのではなく、実在する正規サイトに不正スクリプトをひそかに埋め込みます。
たとえるなら、本物の企業サイトに「偽の案内ポップアップ」をこっそり貼り付けるようなイメージです。見た目は本物なので疑われにくいのが特徴です。
攻撃の流れはこうです:
- 正規ウェブサイトへの不正侵入
- 偽の「PCに問題があります」メッセージを表示
- ユーザー自身がPowerShellコマンドを貼り付けて実行
- 複数のローダー(次の処理を呼び出す起動係)がメモリ上で連鎖動作
- 最終ペイロード「MIMICRAT」が展開される
ここで特筆すべきは、脆弱性の悪用もゼロデイ攻撃も使っていないという点です。必要なのは「このコマンドを実行してください」という一言だけ。技術ではなく、人間心理を突く設計になっています。
「怪しい外国語のサイトだから気づける」はもう通用しない
このキャンペーンがさらに厄介なのは、言語の壁を取り払っている点です。攻撃プログラムはアクセス者のブラウザ言語設定を自動的に読み取り、偽のエラー画面をその言語で表示します。日本語環境なら日本語で、英語環境なら英語で。対応言語は日本語・英語・中国語・韓国語を含む17言語に及びます。
対応言語リストに「Japanese(日本語)」が明記されている以上、日本に住む私たちも攻撃者の射程圏内です。
ただし、攻撃者は特定の企業や国を狙い撃ちしているわけではありません。「母国語で表示して安心させ、世界中の誰でもいいから騙す」という日和見主義的な戦略です。標的を絞らないからこそ、逆に誰もが対象になりえます。
つまり、「普段使っている言葉で自然に罠にかかる」危険性があるということです。
MIMICRATとは何か
MIMICRATはC/C++で書かれたカスタムRAT(Remote Access Trojan)、つまり感染したPCを遠隔操作できるマルウェアです。
感染したマシン上で攻撃者ができることは多岐にわたります。
- Windowsログイントークンの窃取 — パスワードなしでなりすましが可能になるデジタル証明書のような情報を盗む
- 任意コマンドの実行 — 遠隔から操作命令を送ることができる
- ファイルの読み書き
- SOCKS5プロキシトンネルの確立 — 感染PCを”踏み台”として外部通信に利用する
そして最大の特徴が、攻撃者との通信(C2通信)にHTTPS/ポート443を使用していることです。
「正面玄関」を使われると、ドアは閉められない
会社のビルに「正面玄関」があるとします。社員も来客も配達員も、みんなそこを使います。インターネットでいえば、これがHTTPS/ポート443です。
MIMICRATも、このまったく同じドアを使います。裏口を探さない。窓を割らない。普通の顔をして、正面から堂々と歩いてくる。
当然、セキュリティチームはこのドアを閉めることができません。閉めれば、インターネット全体が止まります。
では、どうやって見破るのか。
答えは**「行動の異常を観察すること」です。従来型のセキュリティは、過去に確認された”指紋”と一致するかを見るシグネチャベース検出**が中心でした。しかし今回はそれが通用しません。
代わりに必要なのは、たとえば次のような視点です。
- 普段PowerShellを使わないPCが突然スクリプトを実行している
- 深夜に30秒ごと特定サーバーへ通信している
- 通常触らないシステムファイルへアクセスしている
これが**振る舞い検知(Behavioral Detection)**の考え方です。「これは既知の悪いものか?」ではなく、「これは普段と違う動きをしているか?」を見るのです。
では、その“行動の異常”をどうやって見つけるのか。
ここで重要になるのが、エンドポイントやネットワークのテレメトリを一元的に収集し、通常時の振る舞いと比較できる仕組みです。
Elastic Securityは、エンドポイント・ネットワーク・ログを横断して可視化し、振る舞いベースで検出ルールを構築できる設計になっています。単なる「ウイルス検知」ではなく、攻撃の流れを追える点が特徴です。
Elastic Security Labsの研究が示した重要な学び
Elastic Security Labsは、マルウェアを特定しただけではありません。今回の分析から、防御側にとって重要な示唆がいくつか得られています。
攻撃は「単発イベント」ではなく「連鎖」である。1つのステップだけを見ても全体像は見えません。攻撃チェーン全体を追える視点が必要です。
「監視カメラ」を止めてから動く。MIMICRATはAMSI(スクリプトのウイルス検査機能)とETW(Windowsのログ記録機能)を無効化します。こうしたログ無効化の動きは単体では見逃されがちですが、プロセス実行履歴・スクリプトログ・メモリ挙動を横断的に分析すれば、攻撃の痕跡は残ります。
ファイルに痕跡を残さない。MIMICRATは主にメモリ上で動作し、ディスクにファイルを残しません。そのため従来型のアンチウイルスによる検出が難しく、振る舞いベースの監視が欠かせません。
現代でも人間が最大の侵入口。ゼロデイも高度な侵入技術も不要でした。必要だったのは「ユーザーにコマンドを貼り付けさせる」だけです。
まとめ
MIMICRATは高度です。しかし、どの段階にも痕跡は残ります。
重要なのは、ファイル単体ではなく攻撃の流れを見る視点です。マルウェアは常に変わりますが、攻撃の進め方のパターンは急には変わりません。
Elastic Securityは、エンドポイント・ネットワーク・ログを横断して可視化し、振る舞いベースで検出ルールを構築できる設計になっています。単なる「ウイルス検知」ではなく、攻撃の流れを追える点が特徴です。
用語集
| 用語 | 意味 |
| RAT | 遠隔操作が可能なマルウェア |
| C2(Command & Control) | 感染PCと攻撃者をつなぐ通信回線 |
| PowerShell | Windowsに標準搭載された管理用コマンドツール |
| ローダー | 次のプログラムを起動する小さなプログラム |
| ゼロデイ攻撃 | まだ修正されていない未知の脆弱性を突く攻撃 |
| AMSI | Windowsのスクリプト検査機能 |
| ETW | Windowsのログ記録機能 |
| HTTPS / ポート443 | 通常の安全なウェブ通信 |
| シグネチャベース検出 | 既知のウイルスの”指紋”と一致するかを見る方式 |
| 振る舞い検知 | 通常と異なる行動パターンを検出する方式 |
| テレメトリ | PCの動作ログや行動記録データ |
