3800超のWordPressサイトを改ざん 大規模マルウェア配布基盤が82カ国で暗躍：セキュリティニュースアラート

WordPressサイト群を大規模に改ざんする攻撃基盤IClickFixが見つかった。偽の認証画面で利用者にコマンドを実行させ、遠隔操作ツール「NetSupport RAT」に感染させるという。被害は3800以上のWebサイト、82カ国に及んでいる。

[ITmedia エンタープライズ編集部]

　Sekoiaは2026年1月29日（現地時間）、WordPressサイト群を大規模に改ざんしたマルウェア配布基盤「IClickFix」に関する技術分析を公開した。

　偽の認証画面を表示して利用者に操作を実行させ、最終的に遠隔操作ツール「NetSupport RAT」に感染させるという。

偽認証画面で感染を誘導　世界82カ国に波及する「IClickFix」の脅威

　このキャンペーンは、複数の不審なWebサイトを起点とすることが調査から分かっている。攻撃者は正規のWebサイトを侵害して閲覧者を待ち伏せする「ウォータリングホール」（水飲み場攻撃）戦術を採用していたが、解析の結果、特定組織を狙うものではなく、分野や国を問わない広範なばらまき型の攻撃だったとみられる。

　改ざんページには識別子「ic-tracker-js」を含む不正JavaScriptが埋め込まれ、外部ドメインに接続後、段階的に別スクリプトを読み込む。通信の振り分けにはオープンソース短縮URL基盤「YOURLS」が悪用され、訪問者の環境に応じて転送可否を制御する仕組みが確認された。これによって、解析用botや検知基盤からのアクセスを除外し、実利用者のみに後続段階を届ける設計とみられる。

　最終段階においては、「Cloudflare」の認証画面を装ったページが表示される。利用者が指示通り操作すると、クリップボードにコピーされたコマンドが実行され、難読化されたPowerShellスクリプトを取得。これが複数ファイルを展開し、レジストリー登録による常駐化や痕跡（こんせき）削除を実施した後、NetSupport RATを起動する。感染端末は画面監視、キーログ取得、ファイル操作などが可能な遠隔制御状態に置かれる。

　同基盤は少なくとも2024年末から活動し、2025年初頭には別ローダーや情報窃取型マルウェアの配布にも使われていた。2025年を通じてコード構成や誘導ページの外観、配布インフラは段階的に更新され、侵害サイト数も増加。分析時点で3800超のWordPressサイトが関与し、82カ国に分布していた。

　侵入経路は未特定だが、コア本体や主要プラグインが比較的新しい版でも被害が確認されており、広く利用される拡張機能や認証情報の窃取など複数の可能性が示唆された。同社は、この基盤が日次で多数の端末感染につながっている可能性があるとみて監視を継続している。