ClickFixキャンペーン:Tailscale検索で9ヶ月続くフィッシング作戦を発見
Tailscale偽装型ClTailscaleのドメインを巧妙に偽装したフィッシングキャンペーンが発見されました。
攻撃者はCloudflareのインターフェースを模倣した偽サイトを利用し、ユーザーに「検証」を促します。
ユーザーがチェックボックスをクリックすると、JavaScriptがクリップボードにマルウェア実行コマンドを静かに挿入します。
この後、正規のOS機能(rundll32.exeなど)を経由してコマンドを実行させ、パスワードや秘密鍵などの機密情報を高速で窃取します。
このClickFix型攻撃は、システム脆弱性ではなく、ユーザーが持つ複数の信頼関係を悪用することで成り立っています。
人気VPNツールであるTailscaleを検索したユーザーが、巧妙に仕組まれたフィッシング詐欺に遭遇した事例が報告されました。攻撃者は正規のサービス名に似たドメイン(タイポスクワッティング)を使用し、Cloudflareの認証画面を模倣するなど、高度な手口でユーザーを騙そうとしています。本記事では、この巧妙な攻撃の仕組みと、ユーザーが何を見せられているのかを解説します。
タイポスクワットと攻撃の初期段階
この攻撃は、正規のTailscaleのドメイン(tailscale.com)と酷似した「tailsacle.work」といった偽のドメインを使用しています。このように、正規のサービス名と一文字や一部を入れ替えたドメインを「タイポスクワット」と呼びます。この偽サイトは、Googleなどの検索結果に表示されることで、利用者が容易にアクセスできてしまう点が危険です。攻撃者は、ターゲットが検索エンジンで正規サービスを探しているタイミングを狙っています。
Cloudflareを悪用した見せかけの認証画面
ユーザーが偽サイトにアクセスすると、Cloudflareのボット検出ページを模した画面が表示されます。見た目は本物のCloudflareの認証画面と区別がつきません。攻撃者は、自身のタイポスクワットドメインをCloudflareのサービスに紐づけ、その正規のボット対策機能を利用して、あたかもセキュリティチェックを行っているように見せかけているのです。この信頼性の高いインターフェースが、ユーザーの警戒心を解く役割を果たしています。
クリップボードへのコマンド埋め込みと実行誘導
ユーザーが認証チェックボックスをクリックした瞬間、偽サイトのJavaScriptが静かに動作し、事前に準備しておいた悪意のあるコマンドをクリップボードに書き込みます。その後表示されるポップアップは、ユーザー自身に認証を促しているのではなく、クリップボードに埋め込まれたコマンドを「実行させる」ための誘導です。ユーザーがその指示通りにコマンドを貼り付け、実行してしまうと、マルウェアが実行されることになります。
まとめ
今回の事例は、単なる偽サイトに留まらない、技術的に非常に洗練されたフィッシング手法が用いられていることを示しています。不審なドメインや、正規サービスを装った認証画面には細心の注意を払い、不用意に指示されたコマンドの実行は避けることが重要です。
原文の冒頭を表示(英語・3段落のみ)
Note: This article discusses an active phishing campaign that is still operational as of publication. Defenders should treat the IOCs in the companion NOC technical write-up as live indicators and deploy them in their environments.
I travel constantly, and the lack of reliable remote access to my home network had finally caught up with me. Tailscale is the obvious answer. I searched for it between flights to finally get it set up.
A result in the search page caught my eye — the domain looked almost right, but something was off.
※ 著作権に配慮し、引用は冒頭3段落までです。続きは元記事をご覧ください。