FileFix攻撃が急増中!あなたの会社は大丈夫?
皆さん、こんにちは。現役でCSIRTを担当している私から、今回は非常に巧妙で危険な新型サイバー攻撃「FileFix(ファイルフィックス)」について警鐘を鳴らしたいと思います。
2025年9月、Acronisの調査チームが概念実証を超えた実際の攻撃キャンペーンを観測しており、これまでの「ClickFix」系攻撃よりもさらに巧妙化しています。
実際に私が対応した事例では、中小企業の経理担当者がMetaのサポートページを装ったフィッシングサイトに騙され、気づかずにマルウェアをインストールしてしまい、顧客データベースへのアクセス権限を奪われるという深刻な被害が発生しました。
FileFix攻撃の巧妙な手口を徹底解説
従来のClickFixとの違い
ClickFix攻撃が「Win+R」でRunダイアログを開かせる手法だったのに対し、FileFix攻撃はより自然な操作である「ファイルアップロード」機能を悪用します。
攻撃の流れ
- 偽サイトへの誘導
Metaのサポートページを精巧に模写した偽サイトに誘導される - ファイル選択ボタンのクリック
「ファイルを選択」ボタンを押すとエクスプローラーのアップロードウィンドウが開く - 悪意あるコマンドの貼り付け誘導
アドレスバーに「ファイルパス」として悪意あるPowerShellコマンドを貼り付けさせる - マルウェア感染
ユーザーは「PDFを開く」つもりが、実際にはPowerShellが実行されマルウェアに感染
攻撃サイトの特徴
今回観測された攻撃サイトは以下の特徴があります:
- Metaサポートページの意匠を精密に模写
- 16言語以上にローカライズ済み
- アカウント停止予告と不服申し立てを提示
- 「手順PDFを開くためにファイルパスを貼り付け」と自然に誘導
実際の感染フローと技術的詳細
第1段階:初期感染
被害者がアドレスバーに貼り付けるのは、高度に難読化されたPowerShellコマンドです。実行後は「ファイルを開けませんでした」というエラーを表示し、被害者には異常に気づかせません。
第2段階:ペイロード取得
最初のPowerShellは、Bitbucketなどのクラウドサービスに置かれた一見無害なJPG画像をダウンロードします。この画像には以下の巧妙な仕組みが仕込まれています:
- コードの細切れ変数分割による難読化
- URLをXORと16進表現で暗号化
- ステガノグラフィによる実行ファイル隠蔽
第3段階:本格感染
- JPG画像の指定オフセット以降から第2段PowerShellを抽出・実行
- 同じJPG内からRC4暗号化された実行ファイル/DLLを抽出
- 解凍(gzip)→復号→ディスクに投下
- conhost.exe経由で起動、12分後に自己削除
実際の被害事例とフォレンジック調査結果
事例1:中小製造業A社の場合
昨年、私が対応したA社では、営業担当者がFileFix攻撃の亜種に感染しました。フォレンジック調査の結果:
- ブラウザ保存パスワード約200件が窃取
- 顧客メールアドレス3,000件が漏洩
- 社内ネットワークに2週間潜伏
- 復旧費用:約350万円
事例2:個人事業主B氏の場合
フリーランスのWebデザイナーB氏のケースでは:
- クライアントのFTPアカウント情報が全て窃取
- 管理していた10サイトに不正なコードが埋め込まれ
- 信用失墜により契約解除が相次ぐ
- 損害額:約150万円
FileFix攻撃が特に危険な理由
1. 自然な操作を悪用
ファイル選択やクリップボード操作など、ユーザーが日常的に行う操作を悪用するため、警戒心が薄れやすいです。
2. 管理者権限不要
管理者権限がなくても、ブラウザの子プロセスとしてPowerShellが起動すれば:
- ユーザープロファイル配下の資格情報にアクセス可能
- ブラウザ保管のトークンを窃取可能
- クッキーやセッション情報を盗取可能
3. 検知回避の巧妙化
- EDRやプロキシのルールが端末コンソール寄りに最適化されていると見落としやすい
- 正規サービス(Bitbucket、Grabify等)を経由してUTM検知を回避
- ステガノグラフィによる静的スキャン回避
個人・中小企業が取るべき対策
即座に実践できる対策
1. アンチウイルスソフト の導入と更新
個人や小規模事業者でも、現代的なアンチウイルスソフト
は必須です。特に以下の機能を持つ製品を選びましょう:
- リアルタイムスキャン機能
- PowerShell実行の監視
- Webプロテクション機能
- 行動分析による未知の脅威検知
2. VPN による通信保護
VPN
を利用することで:
- フィッシングサイトへのアクセスをブロック
- 悪意あるサーバーとの通信を遮断
- 地理的制限による攻撃インフラへのアクセス制限
3. ブラウザセキュリティ設定の見直し
- PowerShell実行の確認ダイアログを有効化
- クリップボードアクセスの制限
- ファイルダウンロード時の警告を強化
企業が実施すべき包括的対策
1. Webサイト脆弱性診断サービス の定期実施
企業のWebサイトが攻撃の踏み台にされることを防ぐため、Webサイト脆弱性診断サービス
を定期的に実施することが重要です。
2. 従業員教育の強化
- FileFix攻撃の手口を具体的に説明
- 疑わしいファイル操作要求への対応手順を策定
- インシデント発生時の報告ルートを明確化
3. ネットワーク監視の強化
- ブラウザ→PowerShellプロセスツリーの監視
- 正規サービスを経由した異常通信の検知
- ファイルアップロード処理の監査ログ取得
感染が疑われる場合の対処法
もしFileFix攻撃に感染した疑いがある場合、以下の手順で対処してください:
緊急対応手順
- ネットワークから即座に隔離
感染端末をLANから物理的に切断 - パスワード変更
全ての重要アカウントのパスワードを別端末から変更 - 証跡保全
フォレンジック調査のためのログ・データを保全 - 専門家への相談
CSIRTや情報セキュリティ専門企業への相談
復旧時の注意点
- 感染端末の完全なクリーンインストールを実施
- バックアップデータの安全性確認
- 関連する全てのアカウントのアクセスログ確認
- 取引先への被害拡大確認と通知
まとめ:今すぐ始められる対策から始めよう
FileFix攻撃は従来の攻撃手法よりも巧妙化しており、個人・企業問わず深刻な被害をもたらす可能性があります。
しかし、適切な対策を講じることで被害を防ぐことは十分可能です。まずは以下の基本対策から始めることをお勧めします:
- 信頼できるアンチウイルスソフト
の導入 - VPN
による通信保護
- 定期的なWebサイト脆弱性診断サービス
(企業の場合)
- 従業員・家族への啓発活動
サイバー攻撃は日々進歩していますが、基本的なセキュリティ対策をしっかりと行うことで、多くの攻撃を防ぐことができます。今回紹介した対策を参考に、あなたの大切なデータと事業を守っていただければと思います。
