FileFix + Cache Smuggling:従来のセキュリティ対策を回避する新たなハイブリッド・フィッシング手法とは?

FileFix + Cache Smuggling: A New Evasion Combo

2025/10/28 gbhackers — FileFix は、ソーシャル・エンジニアリングとキャッシュ・スマグリングを組み合わせて、最新のセキュリティ防御を回避するものだ。そして、MalwareTech のサイバー・セキュリティ研究者たちが分析するのは、高度に進化したハイブリッド・フィッシング攻撃の手法である。このハイブリッド攻撃では、Web リクエストのための悪意のコードが不要となる。それに代えて用いられるのは、キャッシュ・スマグリングで仕込まれたペイロードであり、それらはブラウザのキャッシュからダイレクトに抽出される。この手法の目的は、インターネットへのアクセスを監視/制限するセキュリティ制御の回避にあり、攻撃者の手口が大きく進歩したことを示している。

この攻撃は、すでに確立されている ClickFix 手法をベースにしたものであり、偽の CAPTCHA プロンプトを作成する脅威アクターが、ソーシャル・エンジニアリングを介して悪意のコマンド実行へと被害者を誘導するものだ。

A ClickFix variant masquerading as a Captcha test.
A ClickFix variant masquerading as a Captcha test.

通常において、ClickFix フィッシング・ルアーがユーザーに指示するのは、”Windows + R” を押して “Run” ダイアログを開き、”Ctrl + V” でクリップボードの内容を貼り付け、”Enter” で実行するという流れである。ただし、その裏では悪意の Web ページ上の JavaScript が、すでに被害者のクリップボードに有害なコマンドを仕込んでいる。

攻撃者を縛るのは、”Run” ダイアログが受け付ける 260 文字という制限であり、それにより複雑な攻撃は難しくなる。したがって攻撃者は、検出されやすい PowerShell/MSHTA ダウンローダーに頼らざるを得なくなる。

その一方で FileFix は、この制限を回避する手法を持っている。被害者を Windows Explorer のアドレスバー (最大 2,048 文字対応) に誘導し、そこに悪意のコマンドを貼り付けさせる。この入力長の拡大により、複雑かつ大容量のコマンドの隠蔽が可能になるが、ユーザーに対して表示されるのは無害に見えるファイル・パスだけである。

The webpage containing the FortiClient phishing lure.
The webpage containing the FortiClient phishing lure.

最近に確認されたキャンペーンは、FortiClient コンプライアンス・チェッカーを装いながら、JavaScript が自動的に Windows Explorer を開き、被害者を攻撃シーケンスへと誘導していた。

ブラウザ機能の武器化

この攻撃の決定的な進化は、FileFix とキャッシュ・スマグリングを組み合わせた点にある。キャッシュ・スマグリングの手法は、CSS/JavaScript/画像ファイルなどの静的アセットを、Web ブラウザが保存する際の仕組みを悪用する。

この手法を実証するために研究者たちが作成したのは、ページロゴを描く JPEG 画像の Exif メタデータ内に “Hello World” DLL を埋め込んだ、PoC フィッシング・ページである。HTTP Content-Type ヘッダ を操作する攻撃者は、実行形式などの任意のファイル・タイプを正規の画像で擬態させ、ブラウザにキャッシュさせることが可能だ。

Proof-of-Concept Phishing Lure.
Proof-of-Concept Phishing Lure.

FortiClient キャンペーンでは、悪意の JavaScript が fetch() 関数で偽の JPEG ファイルを取得していたが、その実体はマルウェアを取り込んだ ZIP アーカイブだった。続いて PowerShell ペイロードは、ブラウザのキャッシュ・ディレクトリを検索して当該 ZIP を発見し、そこに含まれる悪意のコードを抽出して実行する。

これらの処理では外部へのネットワーク接続が不要なため、EDR (endpoint detection and response) やファイアウォールはアラートを発生しない。その結果として、信頼できないスクリプトによる疑わしいアウトバウンド接続を、監視/遮断するためのセキュリティ・レイヤーは回避される。

さらに研究者たちは、JPEG 画像の Exif メタデータをスマグリングする、より洗練された亜種を開発した。この Exif (Exchangeable Image File Format) では、それぞれのメタデータ領域で、最大 64 KB のデータをサポートしている。

この仕組みを悪用する攻撃者は、 ASCII 文字列内のヌルバイトをテキスト・パーサーが処理する挙動を介して、”画像の説明” といった標準的な Exif フィールドにペイロードを隠蔽する。この手法は、画像としての有効性を保ちながら、Exif パーサーの検出を回避していく。

この手法では、Exif データ内の区切りタグ間に、暗号化されたペイロードが埋め込まれる。そして PowerShell スクリプトは、Exif パーサーに頼ることなく、ペイロードを正規表現で抽出して復号/実行する。

その結果として生成される JPEG 画像は、表面的な検査を通過して正常に表示されるが、その中には悪意のコードが秘密裏に取り込まれている。また、このペイロードが復号されるまでの間は、ディスク上に生の形式で保存されないため、一般的なウイルス対策ソフトによる検出率は大幅に低下する。

無力化されるセキュリティ対策

このハイブリッド攻撃の手法は、Web ブラウザだけを標的にするのではなく、メール・クライアントにも影響が及ぶという。研究者たちによるテストでは、画像プレビューが無効化されている Microsoft Outlook であっても、添付画像は事前にキャッシュされダウンロードされる。さらに重要な点として、Exif メタデータが削除されないことも明らかになった。したがって攻撃者は、細工した JPEG を添付したメールを送信するだけで、受信側のシステムに第2段階のペイロードを事前配備できる。つまり、被害者がメッセージを開封しなくても、展開が成立する点が深刻な問題点となる。

この進展は、従来のセキュリティ監視の基本と前提を根底から揺るがすものだ。これまでの防御策は、ペイロードをダイレクトに埋め込む手口や、ペイロードの取得のために外部へ送信される Web リクエストを実行する悪意のスクリプトの検出に依存している。しかし、正当なキャッシュ・メカニズムを介して、ペイロードが事前にスマグリングされると、これらの対策は実質的に無効化され、検知が成立しなくなる。

この手法により、C2 (Command-and-Control) を必要としないローダーを作成できる。この種のローダーは、ソフトウェアのキャッシュ・ディレクトリを監視し、あらかじめ定義されたシグネチャを持つファイルを検出することで、ネットワーク上の侵害指標 (IOC) を事実上排除していく。

セキュリティ・ベンダーにとって必要なことは、能動的なダウンロードではなく受動的なキャッシュ・メカニズムを経由して、第2段階のペイロードが到達するケースを想定し、検出戦略と監視ルールを見直すことである。

この新たなハイブリッド攻撃に対して、ユーザー組織として検討すべきは、キャッシュされたファイルからメタデータを削除する制御の実装と、ブラウザ・キャッシュ・ディレクトリへの異常アクセスの監視に加えて、ネットワーク接続を必要としない不審なスクリプト活動を検知する行動分析メカニズムの導入などである。

これまでのセキュリティ対策の隙間を突く手法を、脅威アクターたちは生み出し続けている。したがって防御側は、従来からのネットワーク・ベースの指標を超えた可視性を確保し、効果的な保護を維持する必要がある。

この攻撃手法を構成する要点は2つです。ひとつはブラウザの正当なキャッシュ機能を悪用し、Exif などにペイロードを隠して、アウトバウンド通信を必要とせずに第2段階のペイロードを配備できる点。もうひとつは、Run や Explorer のアドレス欄誘導といったソーシャル・エンジニアリングで、ユーザー操作を巧妙に利用する点です。これらを組み合わせることで、従来のネットワーク接続監視や EDR に依存した検知前提が弱体化し、攻撃が成功しやすくなっていると、この記事は指摘しています。関連記事として、2025/10/24 の「Windows ファイル・プレビューはデフォルトで OFF:Mark of the Web に基づく File Explorer の変更とは?」も、ご参照ください。