Packet Pilot X (Twitter)
2025-10-26

ハッカーがClickFix手法を使用してNetSupport RATローダーを展開

ハッカーが「ClickFix」と呼ばれる手法を用いて、NetSupportリモート管理ツール(RAT)を悪用する事例が増加しています。eSentireの脅威対応ユニット(TRU)の報告によると、攻撃者は2025年に偽のソフトウェア更新からClickFix初期アクセスベクターへの配信戦略をシフトさせています。この手法は、正当なリモートサポートサービスを悪用し、ユーザーに攻撃者のシステムへの制御を許可させるものです。攻撃はソーシャルエンジニアリングを利用し、被害者をClickFixページに誘導し、悪意のあるコマンドをWindowsの実行プロンプトに貼り付けるよう指示します。このコマンドを実行すると、NetSupport RATをダウンロードし、インストールするマルチステージ感染プロセスが開始されます。

メトリクス

このニュースのスケール度合い

6.0 /10

インパクト

6.5 /10

予想外またはユニーク度

7.0 /10

脅威に備える準備が必要な期間が時間的にどれだけ近いか

8.0 /10

このニュースで行動が起きる/起こすべき度合い

7.5 /10

主なポイント

  • ClickFix手法を使用することで、攻撃者はユーザーに悪意のあるコマンドを実行させ、NetSupport RATをインストールします。
  • TRUの研究者は、異なるローダータイプを特定し、攻撃者が手法を進化させていることを示しています。

社会的影響

  • ! この攻撃手法は、企業や個人のセキュリティ意識を高める必要性を示しています。
  • ! リモートワークの普及に伴い、リモート管理ツールの悪用が増加しており、セキュリティ対策が急務です。

編集長の意見

ClickFix手法の登場は、サイバーセキュリティの脅威が進化していることを示しています。特に、攻撃者が正当なサービスを悪用することで、ユーザーの警戒心を緩め、容易にシステムに侵入することが可能になります。このような手法は、従来のセキュリティ対策では防ぎきれない場合が多く、企業や個人は新たな脅威に対する認識を高める必要があります。さらに、攻撃者が使用するローダーの多様化は、セキュリティ専門家にとっても新たな課題となります。特に、PowerShellを利用した攻撃は、システム管理者にとっても脅威となり得るため、適切な監視と対策が求められます。今後、企業はリモート管理ツールの使用を厳格に管理し、未承認のツールをブロックすることが重要です。また、従業員に対するセキュリティ意識の向上を図るための教育も不可欠です。これにより、攻撃者の手法に対抗するための基盤を築くことができるでしょう。

解説

ユーザーにWin+Rでコマンドを打たせる「ClickFix」が初期アクセスの主流に——NetSupport RATローダー拡散が加速しています

今日の深掘りポイント

  • 偽アップデートから「ClickFix」(Win+Rにコピペさせる手口)への戦略転換により、Web/ブラウザ依存の防御網をバイパスしやすくなっています。
  • 正規ツール(NetSupport)の悪用で“管理ツール=安全”という思い込みを突くため、アプリケーション制御と資産管理の精度が問われます。
  • 攻撃はユーザー実行(User Execution)に依存する反面、PowerShell主体のローダーで多段感染・永続化まで一気に到達しやすいのが特徴です。
  • スコアリング指標の「immediacy: 8.00」「probability: 8.00」は短期的に遭遇確率が高いことを示し、アウェアネス訓練の刷新とEDR検知強化を先行投資する価値が高いです。
  • MITRE ATT&CKでは、T1204(User Execution)、T1059.001(PowerShell)、T1547.009(Startup LNKによるAutostart)などがコアのTTPです。初動評価からIRプレイブックまでATT&CK基軸での整備が有効です。

はじめに

eSentireの脅威対応ユニット(TRU)が報告したとされる観測では、2025年に入り、攻撃者が従来の「偽アップデート」誘導から「ClickFix」手法へ軸足を移し、NetSupport(正規のリモート管理ツール)をRATとして展開する事例が増加しています。ClickFixは、専用ページで「Windowsキー+Rを押して、このコマンドを貼り付けて実行」といった具体的な手順を被害者に実施させ、PowerShellを起点とした多段ダウンロード・インストールでNetSupportを常駐化させるソーシャルエンジニアリング中心の初期アクセス手法です。

この変化は、ブラウザ警告や偽アップデート検知に偏った既存防御の盲点を突くもので、英米を中心に広域で観測されている点、最終的な運用が金銭窃取からスパイ活動まで幅広くなり得る点から、地政学的なリスク伝播も無視できない局面に入っていると見ます(報道出典は後掲の参考情報を参照ください)。

深掘り詳細

事実関係(観測されたTTPの整理)

  • 初期アクセス
    • 誘導先はClickFixページ。ユーザーにWindowsのRunダイアログ(Win+R)を開かせ、事前に用意されたコマンドを貼り付けさせます。これは「ユーザー実行」に極度に依存するソーシャル工学の亜種です。
  • 実行・ダウンロード
    • 当該コマンドはPowerShellの実行を伴い、外部からローダーを取得して多段の感染プロセスを開始します。ここで正規ツールのNetSupportが最終段として配置され、RATとして機能します。
  • 永続化
    • スタートアップフォルダにショートカット(LNK)を作成するなど、ログオン時に自動起動する仕掛けで永続化を確保します。
  • 変種の広がり
    • PowerShellベースのローダーの多用が報告され、ローダーのタイプが複数観測されています(後述のMITREマッピング参照)。

出典(速報性重視の二次情報): GBHackers: Hackers Use ClickFix Technique to Deliver NetSupport RAT Loader

インサイト(なぜ効くのか/既存対策の盲点)

  • ブラウザを飛び越える誘導
    • 「偽アップデート」はブラウザのダウンロード保護やコンテンツフィルタで阻止されやすくなりました。一方ClickFixは「ユーザーの手でOSレベルのRunを起動→コマンド実行」を誘導するため、ブラウザのガードレールを回避しやすいです。
  • 正規ツールの悪用がアラート疲れを助長
    • NetSupportは正規のリモートサポートツールです。資産管理が甘い環境では“正規だから問題なし”と見逃され、EDRでも判定が鈍るリスクがあります。正規ツール悪用は運用面のアセスメント(承認ツールの厳格化)を迫ります。
  • 多段化による検知の困難化
    • PowerShellのIEXやエンコード済みコマンドなど、ステージングを多段化することで、シグネチャや単発IOCに依存した検知をすり抜けやすいです。プロセスチェーンやイベントタイムラインの相関での検出が重要になります。

メトリクスの読み解き(現場への示唆)

  • score: 53.50
    • 複合スコアとして中位以上の警戒水準。単発の騒音ではなく、継続対応が必要な“しつこい”運用型キャンペーンの兆候と読みます。
  • novelty: 7.00 / immediacy: 8.00 / probability: 8.00
    • 既存対策が効きにくい新手口で、短期の遭遇確率が高いことを示します。ユーザー訓練(Win+Rやコマンド貼り付け指示への拒否反応を育てる)と、PowerShell監視の緊急強化を“今すぐ”進める価値が高いです。
  • actionability: 7.50
    • 具体策(アプリ制御、PowerShellロギング、スタートアップLNK監視、正規RATの許可制)で阻止できる余地が大きいことを示します。短サイクルでの運用改善が効きます。
  • credibility: 7.50
    • 一次情報(ベンダー・TRU系)起点の技術観測である点は信頼寄与。とはいえ環境依存性も残るため、自組織テレメトリでの反証・検証を並走させるべきです。
  • positivity: 3.00
    • ネガティブ寄りのバランス。攻撃者優位の短期局面であることを意味し、過度な楽観を排し、運用面の抜けを詰める姿勢が肝要です。
  • scale: 6.00 / magnitude: 6.50
    • 地理的・業種的な広がりと、侵入後の被害レンジ(情報窃取〜二次ペイロード展開)を勘案すると、国内でも部門横断の横展開が現実的な脅威レベルです。

脅威シナリオと影響

以下は仮説を含む想定シナリオです。自組織の業務フローに照らして優先度を評価してください。

  • シナリオA(金銭目的の常套手口)

    • 初期アクセス: Web誘導→ClickFixページ→ユーザー実行
    • 実行/ダウンロード: PowerShellでローダー取得→NetSupport展開
    • 目的: ブラウザセッション・認証情報窃取、二次的な情報スティーラー導入、決済・広告詐欺の踏み台化
    • 影響: エンドポイント単位での継続的な遠隔操作、業務アカウント流出

  • シナリオB(アクセスブローカー型→ランサム連鎖)

    • 初期侵入の確保後に、横展開やAD探索を支援するための手動操作(RAT)を活用
    • 影響: ドメイン権限奪取の前段、数日〜数週間の潜伏後に暗号化・恐喝に移行する可能性

  • シナリオC(スパイ活動)

    • 特定部門端末に焦点を当てた持続的な監視・文書持ち出し・会議盗聴
    • 影響: 機微情報の長期流出、取引先・サプライチェーンへの二次拡散

MITRE ATT&CKマッピング(確度の高い要素)

  • Initial Access: T1189(Drive-by Compromise、Web誘導の場合の仮説)、T1566/T1204(User Execution/Phishingリンク経由のユーザー実行)
  • Execution: T1059.001(PowerShell)、T1059.003(Windows Command Shell)
  • Persistence: T1547.009(Boot or Logon Autostart Execution: Shortcut Modification、StartupへのLNK配置)
  • Defense Evasion: T1036(Masquerading、正規ツール装い)、T1218(Signed Binary Proxy Execution、mshta等の利用は仮説)
  • Command and Control: T1071.001(Application Layer Protocol: Web Protocols、一般的なWeb経路想定)
  • Exfiltration: T1041(Exfiltration Over C2 Channel)
  • Resource Development/Command staging: T1105(Ingress Tool Transfer)

ATT&CKは下記参考リンクで確認ください。

セキュリティ担当者のアクション

短期(今週中)

  • ユーザー訓練の即時更新
    • 「Webページの指示でWin+R(Run)を開き、コマンドを貼り付ける行為は厳禁」という具体的ルールを周知します。ヘルプデスクの正規手順(内線・チケット・相互合言葉)を明文化し、“突然のリモート支援”を受けない文化を徹底します。
  • PowerShellの可視化と抑制
    • Script Block Logging(4104)、Module Logging(4103)、Transcriptionを有効化し、SIEMに集約します。-nop、-w hidden、-enc(EncodedCommand)等のフラグを高優先でアラート化します。
    • Constrained Language Modeの適用範囲を拡大し、一般ユーザーのPowerShell能力を制限します(開発・運用チームは例外管理)。
  • アプリケーション制御と正規RATの管理
    • NetSupport等のリモート管理ツールは「許可リスト方式」で運用します。未承認の実行ファイル・サービス・ディレクトリ作成(特にユーザープロファイル配下やProgramData配下)をブロック/隔離します。
  • 永続化の検知
    • スタートアップフォルダへのLNK作成(T1547.009)を監視します。直前にPowerShell/cmdから作成されたLNKは高リスクとみなします。
  • プロセスチェーン相関
    • explorer.exe→cmd.exe/powershell.exe→ネットワークアクセス→ファイル/ショートカット作成の短時間連鎖を高スコアで相関検知します。

中期(1〜4週間)

  • WDAC/AppLocker/ASRの適用強化
    • 標準ユーザーでのmshta/wscript/cscript/rundll32/powershell等のロールに基づく実行制限を適用します(業務影響はパイロットで調整)。
  • ブラウザ境界を超える誘導への耐性
    • DNSフィルタ(新規登録ドメイン/Nrd)、TLS検査の適用範囲見直し、SEOポイズニング対策(検索広告の制御)を再評価します。
  • IRプレイブックの更新
    • NetSupport検出=“インタラクティブ侵害”として即時隔離・三点セット(メモリ・ネットワーク・永続化痕跡)のトリアージを標準化します。ATT&CKのTTP観点での原因分析テンプレートを整備します。
  • パープルチーム演習
    • Win+R経由でのPowerShell実行→ローダー取得→Startup LNK作成という「ClickFix最短経路」を模擬し、検知・封じ込めまでのMTTD/MTTRを測定します。

検知ヒント(運用メモ)

  • Runダイアログ(user-init)直後のPowerShell/コマンドシェル起動
  • PowerShellの外部接続直後のZIP/EXE/PS1取得と展開
  • Startupフォルダ(ユーザー/全ユーザー)へのLNK生成イベント
  • 新規のリモート管理プロセス(親がPowerShell/コマンドシェル)の出現
  • ブラウザ→クリップボードコピー→短時間でのPowerShell実行(クリップボード監査が可能な環境での相関は推奨)

運用上の注意(リスクとトレードオフ)

  • Runプロンプトの無効化は有効な抑止になり得ますが、業務生産性への影響が大きいです。高リスク部門・端末での段階適用や、代替手順(ITが遠隔から安全に実行)を用意した上での導入を検討します。
  • 正規RATの全面ブロックは現実的ではありません。承認ベンダー/バージョン/ハッシュ/署名の厳格なホワイトリスト化と、使用時の記録・相互認証の徹底が現実解です。

参考情報

  • ニュース概要(eSentire TRUの観測を引用): GBHackers: Hackers Use ClickFix Technique to Deliver NetSupport RAT Loader
  • MITRE ATT&CK
    • User Execution(T1204): https://attack.mitre.org/techniques/T1204/
    • PowerShell(T1059.001): https://attack.mitre.org/techniques/T1059/001/
    • Windows Command Shell(T1059.003): https://attack.mitre.org/techniques/T1059/003/
    • Drive-by Compromise(T1189): https://attack.mitre.org/techniques/T1189/
    • Boot or Logon Autostart Execution: Shortcut Modification(T1547.009): https://attack.mitre.org/techniques/T1547/009/
    • Ingress Tool Transfer(T1105): https://attack.mitre.org/techniques/T1105/
    • Signed Binary Proxy Execution(T1218): https://attack.mitre.org/techniques/T1218/
    • Application Layer Protocol: Web Protocols(T1071.001): https://attack.mitre.org/techniques/T1071/001/
    • Exfiltration Over C2 Channel(T1041): https://attack.mitre.org/techniques/T1041/

本稿は公開情報の範囲で技術的事実を整理し、SOC運用の観点から実装可能な対策を提示したものです。個別環境では実装可否や優先度が異なりますので、パイロット適用と計測を前提に段階導入することを推奨します。

背景情報

  • i ClickFix手法は、正当なリモートサポートサービスを悪用し、ユーザーに悪意のあるコマンドを実行させることで、攻撃者がシステムにアクセスする手法です。この手法は、ソーシャルエンジニアリングを駆使しており、ユーザーが意図せずに攻撃者に制御を許可してしまうことが特徴です。
  • i NetSupport RATは、リモート管理ツールとして広く使用されているが、悪用されることで攻撃者が完全なリモート制御を得ることが可能になります。攻撃者は、PowerShellを利用して悪意のあるペイロードをダウンロードし、システムのスタートアップフォルダにショートカットを作成することで、持続性を確保します。
Packet News 一覧へ戻る