ClickFixの手法を改良 キャッシュ機能を悪用した新型攻撃の詳細とは？：セキュリティニュースアラート

ExpelはWebブラウザのキャッシュを悪用してマルウェアを実行するサイバー攻撃を観測した。この攻撃はFortinetのVPNツールを装い、偽装WebページからPowerShellを介してキャッシュ内のZIPファイルを実行するという。

[後藤大地，ITmedia]

　セキュリティ企業のExpelは2025年10月8日（現地時間）、Webブラウザのキャッシュ機能を悪用した新たな攻撃手法「キャッシュスモーグリング」（cache smuggling）を観測したと発表した。

　この手法は、過去に確認済みの「ClickFix」攻撃の手口をベースにしつつ、外部からの不審なファイルダウンロードを伴わずにマルウェアを実行する点で異なる。Expelによると、この攻撃は企業ネットワークへの侵入を狙い、FortinetのVPNクライアントの動作確認ツールを装って展開されていたという。

ClickFixの手法を改良　検出を回避する新型攻撃とその対策

　この攻撃では、利用者がVPNの設定確認をするように誘導される偽のWebページが使用されている。表面上は「Fortinet VPNコンプライアンスチェッカー」を名乗り、企業での業務利用を前提に見せかけていた。実際のページではユーザーにネットワークの実行ファイルを参照するよう求めるテキストボックスが表示され、「\Public\Support\VPN\ForticlientCompliance.exe」というパスが示されていた。

　しかしこのテキストボックスや「Open File Explorer」と書かれたボタンをクリックすると、クリップボードには別の長いPowerShellコマンドが自動的に書き込まれる仕組みになっていた。

　見た目には「\Public\Support\VPN\ForticlientCompliance.exe」と正規のファイルパスしか表示されないが、実際には先頭に多数の空白が挿入されており、画面外に隠れたコード部分が存在する。このコードは「conhost.exe」を介してPowerShellを非表示で実行し、ユーザーのローカル環境に保存されているブラウザキャッシュを操作するものだった。

　スクリプトは「Google Chrome」のキャッシュディレクトリから特定の文字列を含むデータを探し出し、その部分を抽出して「ComplianceChecker.zip」という圧縮ファイルとして保存し、展開後に実行する流れとなっていた。

　この「ComplianceChecker.zip」はスクリプト内に直接含まれているわけではなく、Web経由でもダウンロードされない。Expelの分析によれば、このファイルデータは偽のWebページを閲覧した際にWebブラウザが自動的に取得した「画像ファイル」に偽装されてキャッシュ内に格納されていた。ページ内には難読化JavaScriptが埋め込まれており、「image/jpeg」というコンテンツタイプを設定してサーバからデータを取得する構造になっていたが、実際の中身は画像ではなくZIPアーカイブだったことが判明している。

　キャッシュスモーグリングでは配信データを画像ファイルとしてWebブラウザの通常のキャッシュ動作によって保存し、その後ローカル環境のスクリプトが抽出・実行することで従来のダウンロード監視をすり抜ける。Webブラウザやセキュリティソフトが一般的に実行する「ダウンロードファイルの検査」や「PowerShellによる外部通信の監視」を回避できる点が特徴とされている。

　Expelは、この手法が現時点で広範に使われているわけではないとしつつも、検出回避の新しい方法として注意が必要だと指摘している。特に企業環境ではブラウザキャッシュを参照する不審なプロセスや、管理者以外のユーザーによるPowerShell実行を警戒すべきだとしている。PowerShellの利用を制限できない場合には、実行内容の監視やユーザー教育を強化することが推奨されている。

　Expelは防御策として、ブラウザキャッシュへの不正アクセス検知、PowerShellの利用制限、DNSフィルタリングによる不審ドメインの遮断を挙げている。今回確認されている攻撃では「fc-checker[.]dlccdn[.]com」というドメインが悪用されており、こうした新規登録ドメインへのアクセスを制御することで被害を防げる可能性があるとしている。