パンデミックの影響でバーチャル会議への依存度が大幅に増加し、Google MeetやZoomといったプラットフォームが私たちの個人的およびプロフェッショナルなコミュニケーションに欠かせない存在となりました。しかし、この利用の急増は、サイバーセキュリティの脅威の増加ももたらしました。特に懸念される手法の一つが、無防備なGoogle Meetユーザーをターゲットにしたフィッシング詐欺「ClickFixキャンペーン」です。このマルウェア詐欺は、正当な会議リクエストに似せた偽の会議招待状を使用して、ユーザーの信頼を悪用します。

ClickFixキャンペーンの理解

ClickFixキャンペーンがどのように機能するかを理解し、その警告サインを認識することで、個人や組織がこの増大する脅威から自分自身を守ることができます。ClickFixキャンペーンは2024年5月に登場し、人気のあるソフトウェアアプリケーションのユーザーを狙っています。最初は、Google Chrome、Microsoft Word、OneDriveなどの有名なプログラムに関連するエラーを偽装していました。サイバー犯罪者は、ユーザーが虚構の技術的問題を解決する必要があると信じ込ませるために、ソーシャルエンジニアリング技術を駆使します。このようにして、悪意のある意図を緊急の修正として偽装し、最も用心深いユーザーさえも騙すことができます。

ソーシャルエンジニアリングの手法

ClickFixキャンペーンの特徴は、その巧妙なソーシャルエンジニアリングの使用です。詐欺師は、正当なソースから送信されたかのように見えるメッセージを作成し、アプリケーションの重大なエラーを解決する必要があると主張します。これらのメッセージは、あいまいな通知から、接続の問題やソフトウェアの故障に関する詳細な説明までさまざまです。ユーザーは、問題を「修正」するためにPowerShellコードを実行するよう指示され、その結果、マルウェアがシステムに侵入することを許してしまいます。

Google Meetの悪用

これらのキャンペーンは、Google Meetの広範な利用を利用して、正当なリンクに非常に似た偽の会議招待状を送信します。詐欺的な招待状は、信頼できるソースから送信されたように見え、重要な仕事の会議やカンファレンスの約束でユーザーを引きつけます。いくつかの例として、次のような偽のURLがあります：

• meet[.]google[.]us-join[.]com
• meet[.]googie[.]com-join[.]us
• meet[.]google[.]com-join[.]us
• meet[.]google[.]web-join[.]com
• meet[.]google[.]webjoining[.]com
• meet[.]google[.]cdm-join[.]us
• meet[.]google[.]us07host[.]com
• Googiedrivers[.]com
• hxxps://meet[.]google[.]com-join[.]us/wmq-qcdn-orj
• hxxps://meet[.]google[.]us-join[.]com/ywk-batf-sfh
• hxxps://meet[.]google[.]us07host[.]com/coc-btru-ays
• hxxps://meet[.]google[.]webjoining[.]com/exw-jfaj-hpa

この正当なURLの巧妙な複製は、詐欺師がユーザーの防御を低下させるために使用する重要な手法であり、ユーザーがソースを確認せずにクリックする可能性を高めます。一度詐欺リンクをクリックすると、偽のGoogle Meetページにリダイレクトされ、マイクやヘッドセットに関する技術的な問題があると主張するポップアップが表示されます。「修正を試す」ボタンをクリックすると、PowerShellコードのコピーを含む欺瞞的なプロセスが進められます。このコードは、問題を解決するための必要なステップとして提示されますが、実際にはマルウェアのインストールの扉を開くことになります。このコードをWindowsのコマンドプロンプトに貼り付けることで、知らず知らずのうちに悪意のあるソフトウェアをダウンロードするコマンドを実行してしまいます。

ClickFixキャンペーンのリスク

ClickFixキャンペーンは単なる迷惑行為ではなく、深刻なセキュリティ侵害を引き起こす可能性があります。これらの攻撃で配布されるマルウェアには、さまざまな悪意のあるソフトウェアが含まれています：

• DarkGate: 攻撃者が感染したシステムを制御できるリモートアクセス型トロイの木馬（RAT）。
• AMOS Stealer: macOSシステムをターゲットにし、機密データや認証情報を盗む。
• Lumma Stealer: 感染したデバイスから個人情報や機密データを収集するように設計されています。
• MatanbuchusおよびXMRig: 仮想通貨のマイニングに使用され、システムを遅くしながらコンピューティングリソースを不正に利用します。

McAfeeやSekoiaなどのサイバーセキュリティ企業からの最近の報告によると、特に米国や日本でClickFixキャンペーンが大幅に増加しています。デジタルコミュニケーションの利便性と会議の頻度の増加は、フィッシング試行が見逃されやすくする要因となっています。

サイバー犯罪者の戦略の進化

サイバー犯罪者は常に効果的な戦略を維持するために適応しています。ClickFixキャンペーンは、Google Meetを超えて他のプラットフォーム（Zoomなど）を含むように戦術を多様化し、さまざまな人気アプリケーションやサービスのユーザーをターゲットにしています。最近のキャンペーンでは、輸送や物流会社を狙ったフィッシングメールが報告されており、攻撃者が特定の業界に合わせて手法を調整していることがわかります。

これらのキャンペーンに関連付けられた2つの注目すべき脅威アクターグループは、Slavic Nation Empire (SNE)とScamquerteoであり、これらはより大きな仮想通貨詐欺ネットワークのサブチームと見なされています。このことは、これらのフィッシング攻撃の組織的で体系的な性質を示しています。

ClickFixフィッシングの試行を識別し、防御する方法

ClickFixのようなフィッシング詐欺に対する第一の防衛線は、認識です。以下は、潜在的なフィッシング試行を特定するためのいくつかのヒントです：

• メールアドレスを精査する: 送信者のメールアドレスに不一致がないか常に確認してください。正当な組織は通常、公式ドメインを使用します。何かが不審に思われる場合は、さらに調査する価値があります。
• リンクを慎重に確認する: リンクの上にカーソルを合わせて、クリックする前に実際のURLを表示します。リンクが疑わしい場合や、期待されるドメイン（例えば、わずかなスペルミス）と一致しない場合は、クリックを避けてください。
• 赤旗を探す: 緊急の言葉や、技術的な問題を解決するよう促したり、コマンドを実行するように頼んだりするような異常なリクエストに注意してください。正当な企業がユーザーにスクリプトを実行させたり、メールで機密情報を共有させたりすることはありません。
• 確認する: 知っている個人や組織が送信者のメッセージを本当に送信したのか確認するために、別の方法（電話やメッセージなど）で直接確認してください。
• セキュリティソフトウェアを使用する: サイバーセキュリティソフトウェアやファイアウォールを活用して、フィッシング攻撃のリスクを軽減します。これにより、マルウェアや疑わしいリンクのインストールを防ぐことができます。

結論

ClickFixキャンペーンのような新しい脅威の増加に対処するためには、サイバーセキュリティにおける教育と認識が不可欠です。ユーザーは、マルウェアやフィッシング詐欺から自分自身を守るために、警戒し、疑わしいメッセージを特定するスキルを磨く必要があります。デジタルコミュニケーションの世界では、情報に基づく判断が重要です。適切な対策を講じることで、オンラインでの安全性を確保することができます。