FileFix の進化:Windows のブラウザ機能を悪用する Mark-of-the-Web 回避

FileFix Attack Exploits Windows Browser Features to Bypass Mark-of-the-Web Protection

2025/07/02 CyberSecurityNews — 2025年7月に出現した、洗練された新たなサイバー攻撃の亜種は、Chrome/Microsoft Edge の Web ページ保存機能に存在する、深刻な脆弱性を悪用するものだ。この、FileFix 2.0 と呼ばれる攻撃は、ブラウザの正規保存メカニズムと、HTML Application (HTA) 実行を組み合わせることで、Windows の Mark of the Web (MOTW) セキュリティ機能を回避するものだ。

要点
  1. Chrome/Edge における特定の MIME タイプを用いて、HTML ページを “Webpage Complete” または “Webpage Single File” で保存すると、MOTW 保護が付与されないファイルが生成される。
  2. ユーザーを誘導する攻撃者は、これらのファイルを .hta (HTML Application) ファイルとして保存させ、警告なしに悪意のスクリプトを実行させる。
  3. 偽のバックアップ・コード・ページなどのソーシャル・エンジニアリングにより、攻撃者はユーザーに対して、危険なファイルの保存/実行を促す。
  4. mshta.exe の停止/削除により、”.hta” ファイルの実行を停止することで、この攻撃は阻止できる。

昨今のソーシャル・エンジニアリング攻撃が急増している中で、この脆弱性は発見され、報告された。

最新の ESET 脅威レポートによると、FileFix の前身である ClickFix 攻撃は、2025年上半期に 517% も増加し、一般的なフィッシングに次ぐ2番目の攻撃ベクターとなり、ブロック件数全体の約 8% を占めている。

この著しい増加が示すのは、脅威アクターが用いる戦術が、純粋な技術的エクスプロイトから、心理的操作へと移り始めていることである。

この攻撃の新たな亜種は、Chrome/Edge ブラウザの、これまで知られていなかった挙動を悪用している。

“Webpage Complete” または “Webpage Single File” 形式を選択したユーザーが、[Ctrl+S] キーを押して Web ページ保存を実行すると、HTML または XHTML + XML MIME タイプのファイルは、Windows の MOTW セキュリティ機能による保護を受けずに保存される。

FileFix 攻撃を初めて文書化した サイバー・セキュリティ研究者である mr.d0x が、ブラウザ機能と HTA ファイルの組み合わせを悪用する、今回の巧妙化された亜種を発見した。

従来からのマルウェア配布方法とは異なり、この手法では、被害者によるセキュリティ機能の無効化や警告メッセージの無視は必要とされない。

偽のバックアップ・コードによるソーシャル・エンジニアリング

この攻撃におけるソーシャル・エンジニアリングの要素は、きわめて巧妙なものである。人気のオンライン・サービスを模倣する攻撃者は、本物のように見える Web サイトを作成し、多要素認証のバックアップ・コードを装うコンテンツを表示する。

それらの偽ページがユーザーに指示するのは、[Ctrl+S] キーでコードをローカルの “Proper Storage” に保存し、ファイル名に .hta 拡張子をファイル名に付けることだ。

この Google や Microsoft の認証ページに似た要素を表示する偽インターフェイスは、番号付きのバックアップ・コードと、専門的な保存の指示を伴うものだ。

バックアップ・コード経由の HTA 実行

必要なセキュリティ認証情報を安全に保存すると、被害者は信じ込んでいるが、実際には任意のコマンド実行が可能な、悪意の HTMLアプリケーションがダウンロードされ、実行されてしまう。

インターネット経由でダウンロードされたファイルに対する、Windows の第一防衛線として機能する MOTW は、マークが付与されたファイルを、警告表示または実行ブロックの対象とする。

しかし FileFix 2.0 の手法は、ブラウザの正当な挙動を利用して、この保護を回避する。具体的に言うと、保存の操作の際に、特定の MIME タイプをブラウザが処理する方式に、この脆弱性は起因している。

HTA via backup codes

多くのファイル形式は MOTW により保護されているが、HTML および XHTML + XML コンテンツが、ブラウザの “Save As” 機能で保存される場合には、MOTW 保護が適用されない。この挙動により、セキュリティ・ソフトやユーザーにとって正当な保存に見える経路が、攻撃の経路として構築される。

HTA ファイル:永続的な攻撃ベクター

2025年の時点においても、依然として HTML Applications アプリケーションは、Windows のレガシー機能としてセキュリティ・リスクをもたらしている。

HTA ファイルは HTMLベースのインターフェイスを保持した状態で、完全なシステム権限で実行され、事実上のデスクトップ・アプリケーションとして機能する。また、旧来のファイル形式である HTA は、Windows 11 を含むすべてのバージョンでサポートされている。

最近のサイバーセキュリティ調査が示すのは、HTA ベースの攻撃に対する、脅威アクターたちの関心の再燃である。

Hancitor マルウェア・ファミリーや、国家に支援される複数のグループは、HTA ファイルを攻撃チェーンに組み込み、PowerShell コマンドの実行/追加ペイロードのダウンロード/侵害したシステムへの永続的アクセスの確立を達成している。

この攻撃手法の対象は、従来からの Web ページ保存だけに留まらない。研究者たちが実証したものには、text/html MIME タイプを含む HTML コンテンツを取り込んだ data: URI が、ブラウザ経由で保存された場合でも、MOTW 保護を回避する攻撃ベクターがある。

この手法により、攻撃者は URL 内に悪意にコンテンツをダイレクトに埋め込むことが可能となり、外部ホスティング・インフラを不要にする、自己完結型の攻撃ベクターを構築できる。

FileFix ファミリーの進化と影響

FileFix 系列は、ソーシャル・エンジニアリング戦術の進化の象徴である。トラブル・シューティングの手順を装い、悪意の PowerShell コマンドの実行へとユーザーに誘導する ClickFix 攻撃は、多数のオペレーティング・システムを標的とする、複数の亜種や攻撃シナリオを生み出してきた。

セキュリティ研究者たちによると、これらの攻撃を自動化する ClickFix ビルダー・ツールが、サイバー犯罪市場で活発に販売されているという。

このコモディティ化により、技術的スキルが高くない脅威アクターであっても、攻撃の実行が可能となり、その結果として攻撃総数が増加している。

推奨される防御策

サイバー・セキュリティ専門家が推奨するのは、複数の即時的な防御策である。HTA ファイルを処理する mshta.exe 実行ファイルの削除/実行制限を、ユーザー組織は検討すべきである。ただし、この防御策には、HTML Applications に依存する正当なビジネス・アプリケーションに影響を及ぼす可能性がある。

追加の保護策として挙げられるのは、アプリケーション・ホワイトリスト運用/ソーシャル・エンジニアリング戦術に対するユーザー教育の強化/HTA 実行の疑わしいパターンを検出するエンド・ポイント防御の導入などである。

FileFix 2.0 が示すのは、懸念すべきソーシャル・エンジニアリング攻撃の進化である。正当なシステム機能を悪用する脅威アクターたちが、セキュリティ対策を回避する新たな手法を模索し続けていることを、忘れてはならない。

AI を悪用する脅威や、巧妙化するソーシャル・エンジニアリングに、サイバー・セキュリティ・コミュニティが直面する状況において、このインシデントが浮き彫りにするのは、技術的な脆弱性と人的要因の両面に対応する、多層防御戦略の重要性である。

正当なブラウザ機能と悪意の目的が交差することで、従来のセキュリティ前提を覆す攻撃ベクターが生み出されるため、順応性の高い防御姿勢が求められる。

Chrome や Edge の “Webページ保存” 機能を悪用する、新手の攻撃 FileFix 2.0 を紹介する記事です。保存されたファイルが Windows の保護を受けないことを突き、HTA 形式で悪意のスクリプトが実行されるという仕組みだと、この記事は指摘しています。いろいろと、注意しなければならない事が、増えてしまいますね。よろしければ、ClickFIX で検索も、ご参照ください。