たったこれだけでマルウェアに感染? “古くて新しい”サイバー攻撃の手口

1

2025年03月18日 07:31  ITmediaエンタープライズ

  • 限定公開( 1 )

  • チェックする
  • つぶやく
  • 日記を書く

ITmediaエンタープライズ

ファイル名を指定して実行しただけなのに……(出典:筆者のPC端末のスクリーンショット)

 先日知ったある攻撃手法に驚いたので、今回はその話から始めたいと思います。


【画像】たったこれだけでマルウェアに感染? 巧妙な手口を解説【全1枚】


 PCでこのコラムを見ている方は、想像してみてください。まず「calc」という文字列をコピーします。次に[Windows]キーと[R]キーを同時に押し、そして[Ctrl]キーと[V]キーを同時に押し、最後に「Enter」キーをクリックしてください。するとどうでしょう。あなたのPCで電卓が立ち上がるではありませんか。この一連の動作、あなたは理解できたでしょうか。


 「何を当たり前のことを」と思うかもしれません。確かに実際にやっていることは、[Windows]キーと[R]キーを同時押しして「ファイル名を指定して実行」するメニューを開き、そこにコマンドを打ち込んだだけです。


 しかし、もしここに打ち込んだコマンドが難読化されたコードだったとしたらどうなるでしょう。攻撃者に言われるがままに[Windows]キーと[R]キーで実行の準備をし、指示されたマルウェアのコードをペーストして実行してしまえば、初期侵入が完了してしまうかもしれません。


 さらにいえば文字列をコピーするのではなく、あるボタンをクリックしただけで、クリップボードは上書きされてしまいます。このような手法を使われたら、あなたは気付けるでしょうか。そして、この手法は既に攻撃者の間で実行に移されているのです。


●古典的でありながら“新しい” 流行の兆しを見せる巧妙なサイバー攻撃


 以前、「ITmedia エンタープライズ」で紹介された攻撃手法「ClickFix」の被害事例が、日本でも出てきています。


 ClickFixは、Webサイトの表示を乗っ取り、ワーニングや操作エラーをしたかのように見せかけて、巧みにユーザーに操作を促して上記のようなコマンドを打たせたり、「Windows PowerShell」を開かせて右クリック(これはペーストに相当します)させたりする攻撃手法です。確かにユーザーの立場で考えると[Windows]キーと[R]キーを押した後、[Ctrl]キーと[V]キーを押し「Enter」を押す、という一連の操作だけで侵害されるとはまさか思えないでしょう。


 初めてこの手口を知ったとき、なかなか興味深く、一歩間違えればだまされかねないと感じました。この対策として、個人レベルであればWindows PowerShellを無効化すればいいかもしれません。しかし組織でこれをするのは少し難しい可能性があるので、従業員一人一人が、[Windows]キーと[R]キーのショートカットを実行するように誰かに指示されたら「おかしいな」と思うことが大事です。


 振り込め詐欺への啓発は進んでおり、多くの人がその手法を知っています。しかし、それだけでは被害はゼロになりません。これは認知が進んでいないというよりも、攻撃側がさらに上をいき、だます手法を巧妙化しているからだと筆者は思います。


 2025年3月、衝撃のニュースが飛び込んできました。山形鉄道が地元銀行を装う自動音声電話にだまされ、約1億円のフィッシング詐欺被害を受けました。その被害が明らかになる直前には、山形銀行を名乗る不審な自動音声が多発しているという報道もあり、山形鉄道以外にも複数の被害が発生していることがうかがえます。


 中小企業にとって「1億円」は大金です。それがあっさりと奪われてしまうことに驚きを感じるとともに、犯罪者たちが非道なことを繰り返していることにも憤りを覚えます。このようなタイプの事件も日本各地で発生しており、2025年3月に公開されたばかりの最新版「令和6年におけるサイバー空間をめぐる脅威の情勢等について」でも、犯罪グループが電話でIDを聞き出して、フィッシングを実行する事例が紹介されています。


 決して真新しい手法ではない上に、構造そのものはかなりシンプルです。自動音声という不自然なものであっても、ばらまき型で無差別に電話し、そのうち一人でも次のステップに移行できてしまえば、いつかは誰かがだまされます。これも知らなければ対応できませんので、多くの方にこの事例を広めていかなければなりません。


●体験し体感すること、それを広めること


 フィッシングは手口を知らなければ簡単にだまされ、攻撃者のシナリオの上に乗ってしまいます。その意味で、以前紹介した情報処理推進機構の「偽セキュリティ警告画面の閉じ方体験サイト」は大変良い施策で、ここで一度体験しておくと、次からはこれが「攻撃だ」と判断できるようになるはずです。未体験の人は、ぜひ今チェックしてください。


 セキュリティは「知ること」から始まります。このコラムを読者の皆さんなら、その一歩目は既に踏み出しているはずです。しかし皆さんの周りにはそうでないかもしれません。ぜひ、その人たちにもその一歩目の感想を広めていただけないでしょうか。それこそが、社会全体でセキュリティが進歩し、犯罪の被害を一人でも減らせる、有効な手段だと考えています。


 詐欺には注意が必要です。知識を持ち、それについて話しましょう。そして重要なのは、もしだまされてしまった人が周りにいたとしても、誰も責めないこと。引っ掛かってしまった人に問題があるのではなく、犯罪者が悪いのです。被害に遭う方、だまれる方が一人でも減らせるよう、筆者も引き続き努力したいと思います。


筆者紹介:宮田健(フリーライター)


@IT記者を経て、現在はセキュリティに関するフリーライターとして活動する。エンタープライズ分野におけるセキュリティを追いかけつつ、普通の人にも興味を持ってもらえるためにはどうしたらいいか、日々模索を続けている。

    Copyright(C) 2025 ITmedia Inc. All rights reserved. 記事・写真の無断転載を禁じます。
    掲載情報の著作権は提供元企業に帰属します。

    ランキングIT・インターネット

    アクセス数ランキング

    一覧へ

    話題数ランキング

    一覧へ

    前日のランキングへ

    ニュース設定

    このページの上部へ