北朝鮮系ハッカー集団がClickFixを採用 Chromeを装った攻撃に要注意：セキュリティニュースアラート

北朝鮮系ハッカー集団Kimsukyは、攻撃キャンペーンに新たなサイバー攻撃手法「ClickFix」を取り入れていることが判明した。ClickFixはユーザーをだまして攻撃チェーンに誘導する手法で近年流行している。

[後藤大地，有限会社オングス]

　Geniansは2025年7月1日（現地時間）、北朝鮮系のハッカーグループ「Kimsuky」による新たなサイバー攻撃手法「ClickFix」について伝えた。ClickFixは、2024年4月にProofpointの報告書「From Clipboard to Compromise: A PowerShell Self-Pwn」で初めて言及されていた手法であり、ユーザーをだまして攻撃チェーンに誘導する心理的操作を特徴としている。

ClickFixの脅威が激化　北朝鮮系のグループも採用

　ClickFixではユーザーが「Google Chrome」から送信したように見せかけた偽のエラー画面に従ってPowerShellにコードを入力することで、マルウェアへの感染を促す。2024年10月にはフランスのSekoiaが、2025年4月には再びProofpointがClickFixによる攻撃事例を報告しており、Kimsukyもそれに倣ってこの戦術を取り入れたものとみられる。

　このサイバー攻撃は、Kimsukyの継続的な「BabyShark」キャンペーンの延長線上に位置付けられている。BabySharkは、BATやVBS、PowerShellなどのスクリプトを駆使した攻撃を特徴としており、以前より情報窃取や遠隔操作型トロイの木馬（RAT）の配布が確認されている。ClickFixのような新手法により再び活動が活発化しており、ClickFixを即座にキャンペーンに取り込む姿勢がKimsukyの戦術適応能力を際立たせている。

　ClickFix戦術を応用した2025年3月の攻撃では米国の国家安全保障関係者の補佐官を装った攻撃者が、韓国の関係者に面会依頼を送付。PDFマニュアルを送付し、感染を誘導することが確認されている。このPDFと同梱されていた「Code.txt」にはコマンドが含まれており、最終的にはコマンド＆コントロール（C2）サーバへの接続が実行され、スケジュールタスクを通じて持続的な通信が確立される。

　同年には求人情報サイトを偽装した事例も確認されている。防衛研究職を装ったページにアクセスしたユーザーに対し、「Chrome Remote Desktop」のインストールを促す手法が取られていた。インストール後、攻撃者はSSH経由で被害者の端末に接続可能となる。韓国のIPアドレスだけでなく、中国やベトナムなど海外IPとの通信も観測されており、マルウェア配布やキーロガーによる情報収集が実行されたことも確認されている。

　このキャンペーンに対処するためにEDR（Endpoint Detection and Response）製品による振る舞い検知の強化やユーザー教育の徹底が推奨されている。攻撃者の目的はユーザーの不注意と信頼を逆手にとったマルウェアの実行にあるため、あらゆるインタフェースや通信内容に対し、冷静かつ懐疑的な視点を持つことが重要とされている。