Google Meet の偽ページによるマルウェア攻撃:ClickFix 手法で悪意のペイロードを配信

Beware of Weaponized Google Meet Page uses ClickFix Technique to Deliver Malicious Payload

2025/11/29 CyberSecurityNews — 偽の Google Meet ランディングページを通じてリモート・ワーカーや組織を標的とする、高度なマルウェア攻撃が確認された。この攻撃は、偽装ドメイン “gogl-meet[.]com” 上で展開され、ClickFix と呼ばれるソーシャル・エンジニアリング手法でブラウザのセキュリティ制御を迂回し、リモート・アクセス型トロイの木馬 (RAT:Remote Access Trojan) を被害者のシステムに直接送り込むものである。

正規の Google Meet インターフェイスと視覚的に区別できない偽サイトに、ユーザーがアクセスした時点から攻撃が開始される。動画フィードの代わりに表示される、「会議に参加できません」と題されたポップアップ・エラー・メッセージにより、ユーザーの処理が中断される。このメッセージは、カメラやマイクの問題を装って表示されるものである。

Weaponized Google Meet ClickFix

認証情報を要求する一般的なフィッシングとは異なり、このページは技術的な「修正」を提示し、ユーザーの物理的な操作を必要とする。このプロンプトが被害者に指示するのは、特定キー (Windows キー + R/Ctrl キー + V/Enter キー) の操作である。

それに騙されたユーザーが、ページ上の「今すぐ参加」または「修正」ボタンをクリックすると JavaScript 関数が起動し、悪意の PowerShell スクリプトがクリップボードにコピーされる。

その後の、手動によるキー入力指示に従うユーザーは、このスクリプトを Windows Run ダイアログに貼り付けて実行し、ブラウザ・ベースのセキュリティ・フィルターである、Google セーフ・ブラウジングや SmartScreen などを効果的に回避していく。

フォレンジック分析と指標

最近の “gogl-meet[.]com” に関連するインシデント対応により、このチェーンが RAT 感染につながることが確認された。影響を受けたシステムのフォレンジック分析では、マスター・ファイル・テーブル (MFT:Master File Table) を通じて感染の根本原因が特定されている。

具体的には、ドロップされたペイロードの MFT エントリが代替データ・ストリーム (ADS:Alternative Data Stream) 内に重要なオリジン・データを保持しており、ClickFix のダウンロード・ファイルとリファラー URL “gogl-meet[.]com” の両方がキャプチャされていた。

このフォレンジック・アーティファクトは、防御者にとって極めて重要である。RAT の実行が、典型的なドライブ・バイ・ダウンロードやメール添付ではなく、ブラウザ・ベースのソーシャル・エンジニアリング・イベントに起因することを明確に示しているからだ。

今回の攻撃の特徴として挙げられるのは、PowerShell ペイロードに使用されている難読化である。この脅威アクターは、緑色のチェック・マークの繰り返しなどの、信頼性を想起させる視覚的シンボルを含む長いコメント内に、悪意のスクリプトを埋め込む手法を用いている。

このコンテンツを Windows Run ダイアログに貼り付けたときに、それらのチェック・マークなどのイメージが強調表示される場合がある。したがって被害者は、コマンドが「検証済み」または「安全」であると視覚的に安心してしまう。

この戦術には、技術面での意図も見え隠れしている。実際の悪意あるコード (多くの場合 IEX ダウンロード・クレードル) は、ダイアログボックスの表示領域から押し出されるため、スクリプトの真の意図を隠蔽できる。

ClickFix (ClearFake などのクラスターとも関連) は、2024年を通じて大きな注目を集めたが、この最新バージョンはハイパー・ターゲティング型ブランディングへの移行を示している。

初期のキャンペーンでは、汎用的なブラウザ更新や Word のエラーを装っていた。しかし、Google Meet を模倣する手法への移行は、ビデオ会議の不具合が日常的に発生し、企業環境において問題になっているという、確実な攻撃ポイントへの転換を示唆している。

セキュリティ・チームに対して推奨されるのは、手動実行の明確な兆候として検知できる、異常に長い Unicode 文字列コメント・ブロックなどの、実行ダイアログ由来の PowerShell 実行文字列に対するルールを更新することだ。

技術的な脆弱性よりも「人の操作」を起点にする攻撃です。普段使い慣れた Google Meet にそっくりな偽サイトを用意し、「会議に参加できない」というもっともらしいエラーで不安にさせたうえで、Windows キー + R といった具体的なキー操作を誘導することで、ユーザー自身に PowerShell を実行させています。ブラウザの保護機能を正面から破るのではなく、ユーザーの判断と手作業を巧妙に利用して回避してしまう、この ClickFix の手口には注意が必要です。よろしければ、ClickFix での検索結果も、ご参照ください。