バックドアを仕掛けられるおそれ ～Microsoft、「ClickFix」の亜種「CrashFix」を警告

公式ブログにおけるアナウンス

　米Microsoftは2月5日（現地時間）、「ClickFix」の新しい亜種「CrashFix」を確認したと発表した。2026年1月に発見されたとのことで、公式ブログでその詳細が明らかにされている。

　「ClickFix」は、Webページの閲覧中に『PCのトラブルを解決する』などとユーザーを騙し、ボタンをクリックして悪意あるコードを実行させるタイプの攻撃手法。『サブスクが無料になる裏ワザがある』と偽り、［ファイル名を指定して実行］ダイアログ（［Windows］＋［R］キー）から悪意あるコマンドを実行させたりするケースもあり、最近は多様化・巧妙化しつつある。少し前に紹介した、［ファイル名を指定して実行］ダイアログを使わない「FileFix」も「ClickFix」の派生版だ。

　今回確認された「CrashFix」の特徴は、『PCのトラブルを解決する』などとユーザーを騙すのではなく、意図的にWebブラウザーをクラッシュさせて問題を引き起こし、それを解決すると謳う点にある。今まさにトラブルが発生しているのは事実なため、ユーザーはパニックになり、判断を誤ってしまう可能性が高い。

攻撃のプロセス

　同社が確認したケースによると、攻撃のきっかけは広告をブロックする拡張機能をWebで検索したことにある。偽の広告を介して「Chrome ウェブストア」から「uBlock Origin Lite」を装った不正な広告ブロッカーをインストールしてしまい、Webブラウザーにマルウェアが植え付けられてしまったようだ。

　このマルウェアの中核機能は、Webページの閲覧中にサービス拒否（DoS）攻撃を仕掛け、操作が困難な状態に陥れることだ。そしてユーザーが困った頃を見計らって、この状態を解消するための手順をポップアップで表示する。それに従って［ファイル名を指定して実行］ダイアログを表示し、クリップボードにコピーされたコードを実行してしまうと、システムが完全に乗っ取られてしまう。

ユーザーが困った頃を見計らって、問題を解消するための手順をポップアップで表示。あとは「ClickFix」と同じ

　しかもこのマルウェアは、本物のGoogleのドメインと紛らわしい不正ドメイン（タイポスクワットドメイン）と通信し、不審な挙動が露呈しないように隠蔽するといった工夫がなされていたとのこと。さらに、ペイロード（搭載されている悪意あるコード）を遅延実行したり、OS標準のユーティリティ「finger.exe」を活用したり、ペイロードを何重にも難読化したりといった、原因を特定しづらくする偽装が施され、かなり巧妙な作りになっていたようだ。

　また、システムに「Wireshark」や「Process Hacker」、「WinDbg」といった分析・デバッグツールがインストールされていることを検出したり、ドメインへの参加状況を調査する処理が組み込まれている。目的はドメインやユーザー、ネットワーク情報の収集で、侵入したシステムが企業などの価値の高いターゲットであることがわかると、追加のバックドアを展開する。いわゆる「トロイの木馬」として機能するわけだ。

　Microsoftはこうした攻撃への防御策として、「Defender」のクラウド保護やEDRブロックモードを有効化すること、「finger.exe」をはじめとするレガシーなユーティリティのデータ送出を制限すること、「SmartScreen」をはじめとする対策機能を活用すること、多要素認証（MFA）を徹底することなどを挙げている。