ClickFix フィッシング・メールとは？ Booking.com などを装う攻撃キャンペーン

ClickFix Email Scam Alert: Fake Booking.com Emails Deliver Malware

2025/06/05 HackRead — Cofense Intelligence のサイバー・セキュリティ専門家たちが警告するのは、ホテルやレストランなどの飲食／宿泊チェーンに対して、Booking.com を模倣する悪意のメールを送付する、詐欺行為の横行である。これらの詐欺メールは、ユーザーを騙して悪意のあるソフトウェアを実行させる、ClickFix と呼ばれる攻撃キャンペーンの一部である。

2024年11月以降において、ClickFix キャンペーンは着実に勢いを増しており、この数ヶ月では顕著な加速を見せている。Cofense の分析によると、このキャンペーン全体のうちの 47% が、2025年3月だけで観測されるという、驚異的な状況に至っているようだ。

Cofense の Active Threat Report (ATR) によると、偽の CAPTCHA に関連するインシデントの 75% は、ClickFix テンプレートを利用する、Booking.com テーマのものだという。最も一般的なものは Booking.com の成りすましであるが、Cloudflare Turnstile や Cookie 同意バナーを偽装する頻度の低いバリエーションも、Cofense は確認している。

詐欺の手口

この詐欺は、偽の CAPTCHA Web サイトへのリンクを取り込んだメールから始まる。一般的な CAPTCHA は、歪んだ文字の入力などにより、人間とコンピューターを区別するためのテストである。しかし、今回の偽の CAPTCHA は単なるトリックであり、それをクリックすると、本物の認証コードではなく有害なスクリプトが、ユーザーのコンピューターへ向けて送信される仕組みになっている。

一連の ClickFix Web サイトが、ユーザーに指示するのは、特定のキーボード・ショートカット (通常は Windows+R → Ctr+V → Enter) の入力である。この操作により、Windows の Run コマンドが実行され、隠された悪意のスクリプトが貼り付けられ、実行されていく。この悪意のスクリプトには、認証コードのように見える余分な文字が取り込まれ、実際の有害なコマンドを隠すことがよくある。

これらの悪意のサイトは、Booking.com や Cloudflare などの、有名ブランドの正規のページに見せかけるために巧妙にデザインされている。興味深いことに、この詐欺は Windows だけを対象としており、他のデバイスでアクセスすると、Windows のみで動作することを示すメッセージが表示される。

どのようなマルウェアが配信されているのか？

このスクリプトが実行されると、多種多様な悪意のソフトウェアがインストールされるという可能性が生じる。これらの攻撃で、最もよく見られるペイロードは、リモートアクセス型トロイの木馬 (RAT) の一種の XWorm RAT である。ちなみに、RAT とは、リモートの攻撃者に対して、被害者のコンピューターの制御を、秘密裏に許すものである。

その他の、頻繁に確認されるマルウェアとしては、Pure Logs Stealer や DanaBot などがある。それらは、情報窃取型マルウェアであり、機密データを盗み出すために設計されている。場合によっては、RAT と情報窃取型マルウェアの双方が、１回の攻撃で配信されることもあるという。

この ClickFix による攻撃手法は、ユーザーによる悪意のファイルのダウンロードを省き、マルウェアを自ら起動するように仕向けるという点で、きわめて懸念される手口である。たとえ、Booking.com のような信頼できるソースから送信されたように見えるメールであっても、疑わしいメールには注意を払うことが必要である。

ClickFix の成功が浮き彫りにするのは、コンピューター上でコマンドを実行するように求める確認手順やプロンプトの正当性を、常に再確認することの重要性である。

ClickFix 攻撃の見分け方については、Hackread.com のガイドを参照してほしい。そこでは、ユーザーを騙すために使用される手口と、安全を保つ方法に関する詳細が提供されている。

このところ、よく目にする ClickFix ですが、メール・フィッシングの定番という感じですね。そして、手口もますます巧妙化しているようです。いまは、信頼性の高いブランドを装う偽 CAPTCHA に要注意ですね。よろしければ、Phishing で検索も、ご利用ください。