〇 OS、アプリケーション、アンチウイルスのデータベース等を常に最新の状態に保つ
〇 UTM導入等によるネットワーク全体の防御を行う
– 11/13号 目次 –
01. エクスプローラーのアドレスバーから不正なスクリプト入力…「ClickFix」の亜種「FileFix」に注意喚起
02. 新聞社の社内Slackにマルウェア感染で不正アクセス…社員・取引先等17,368人分情報流出
03. 11月の月例セキュリティアップデート、Microsoft・Zoom等発表
エクスプローラーのアドレスバーから不正なスクリプト入力…「ClickFix」の亜種「FileFix」に注意喚起
– 11月10日(現地時間)、セキュリティ企業のKaspersky社より、いわゆる「ClickFix」攻撃の亜種が確認されたとして注意喚起が出されています
– ClickFixでは「Win+R」で表示される「ファイル名を指定して実行」に不正なコマンドを入力させてマルウェアに感染するよう誘導していましたが、「FileFix」と名付けられた今回の亜種ではエクスプローラーのアドレスバーからコマンドを入力させるものとなっています。
– 同社は、ファイルエクスプローラーのウィンドウは馴染みのある要素であり、その使用が危険であると認識しづらく、手口に慣れていないユーザーが罠に陥る可能性が非常に高くなるとしています。
https://forest.watch.impress.co.jp/docs/serial/yajiuma/2062226.html
https://www.kaspersky.com/blog/filefix-attack-windows-file-explorer/54752/
https://expel.com/blog/cache-smuggling-when-a-picture-isnt-a-thousand-words/
AUSからの所感
「ファイル名を指定して実行」から、あるいはコマンドプロンプトからとほぼ同様に、エクスプローラーのアドレスバーからもコマンド入力が可能であり、例えばあるフォルダーを開いている状態で「cmd」と打ち込むことにより、コマンドプロンプトをそのフォルダーにいる状態で開くことが可能といったテクニックが良く紹介されます。
FileFixはClickFixと同様、非常に長いコマンドをクリップボードにコピーし、アドレスバーに貼り付けさせる手口となりますが、途中に長大な空白を入れる等して、単純なファイルパスを入力させるものと誤認識させようとする模様です。
注意喚起では、ClickFixの際に回避策として挙げた、Win+Rによる「ファイル名を指定して実行」のブロックのような手法がとりにくいとし、全ての従業員の業務用デバイスに危険なコードの実行を適時に検出してブロックできるようなソリューションを導入することや、ClickFixないしその亜種が行うようなソーシャルエンジニアリングの手法についての啓発・教育を推奨しています。
新聞社の社内Slackにマルウェア感染で不正アクセス…社員・取引先等17,368人分情報流出
– 11月4日(日本時間)、日本経済新聞社より、同社が社内で利用していたSlackが不正ログインを受け、社員・取引先等の情報が流出した疑いがあると発表されました。
– 発表によれば、Slackに登録されていた氏名・メールアドレス・チャット履歴等17,368人分を閲覧された可能性があるとされています。
– 同社社員の個人所有のPCがマルウェアに感染したことにより、Slackの認証情報を奪取され、社員のアカウントに不正ログイ
ンされたとのことで、同社では9月に被害を把握し、パスワードを変更する等の対策をとったとしています。
https://www.itmedia.co.jp/news/articles/2511/04/news122.html
https://www.nikkei.com/article/DGXZQOUD28CC40Y5A021C2000000/
https://www.nikkei.co.jp/nikkeiinfo/news/information/1393.html
AUSからの所感
Slackでは基本的にパスワードまたはメールで送られるマジックリンクによるログインとなり、加えて2要素認証(2FA)を有効にし、SMSで届くコードかワンタイムパスワード(TOTP)を入力させる設定とすることにより、別途スマートフォンと組み合わせない限りログインは困難となる程度にはアカウントを保護することが可能です。
一方で今回はいわゆるインフォスティーラー型マルウェアがPC上からログイン済みセッションに関係するCookie情報等を奪取したものと考えられ(そしてマルウェアがスマートフォンの方に侵入しないとも決して限りません)、企業・家庭に拘らずアンチウイルス等による防御策はともかく、このようなケースに対しアカウントの保護、ワークスペースへの侵入の防止を行うためにSlack側でさらなる高度なセキュリティ対策がとられるかにも注目したいところです。
11月の月例セキュリティアップデート、Microsoft・Zoom等発表
– 11月11日(日本時間)、マイクロソフト(以下・MS)より、Windows・Office等同社製品に対する月例のセキュリティアップデートがリリースされています。
– Windowsの最新バージョンはWindows 11 24H2・25H2 KB5068861(ビルド 26100.7171・26200.7171)および11 23H2 KB5068865(ビルド 22631.6199)となり、修正された脆弱点のうちWindowsの1件が既に悪用が確認され、Office・Visual Studio等の脆弱性4件について、危険度が4段階中最高の「Critical」と評価されています。
– またZoom社からはZoomクライアントにリモートから攻撃可能なもの等9件が発表され、8月18日リリースの6.5.10で対策済みとしています(Windows版の最新バージョンは10月27日リリースの6.6.6)。
https://forest.watch.impress.co.jp/docs/news/2062496.html
https://msrc.microsoft.com/blog/2025/11/202511-security-update/
https://forest.watch.impress.co.jp/docs/news/2062979.html
https://forest.watch.impress.co.jp/docs/news/2062551.html
AUSからの所感
無償サポートが終了したWindows 10 22H2は延長サポート(ESU)登録者向けにKB5068781(ビルド19045.6575)がリリースされています(Windows 11 22H2およびそれ以前はアップデート終了のため、25H2等へのアップグレードが必要です)。
なお10においてESUの登録に失敗するケースが報告され、KB5068781の直前に定例外パッチとしてKB5071959(ビルド 19045.6466)がリリースされており、登録できない場合はKB5071959にアップデートすることが推奨されています。
いわゆる「パッチチューズデー(米国時間での第2火曜日にあたる)」におけるMS他の月例のセキュリティアップデートをはじめ、各種ソフトウェアベンダーが定期的(隔月・四半期毎等)に行うアップデートについて、特にシステム管理者においては忘れず意識し、OS・機器のファームウェアから各種アプリケーションに至るまで計画的に更新、加えてアンチウイルス・UTM等による多重防御策により、常に脆弱性への攻撃に備えるよう心掛けてください。
