サイバーセキュリティ企業 Silent Push の研究チームが、「DriveSurge」と追跡している脅威アクターによる大規模マルウェア配布キャンペーンを公表した。数千件の正規 Web サイトを改ざんし、ClickFix および FakeUpdates(FakeUpdate)という2つのソーシャルエンジニアリング手法を組み合わせて訪問者にマルウェアを感染させる仕組みが明らかになっている。

DriveSurge とはどんな脅威アクターか

DriveSurge は Initial Access Broker(IAB)、つまり「侵入口を売る業者」として機能している。自身が最終的な攻撃を仕掛けるのではなく、感染端末へのアクセス権を Pay-Per-Install(PPI)モデルで他の攻撃者に販売するビジネスモデルだ。

踏み台となるのは、評判の高い正規 Web サイト。改ざんされたサイトに埋め込まれた JavaScript(t.js?site=<id> というパターン)が、訪問者を zTDS(Traffic Distribution System) に誘導する。zTDS は 2015 年から存在するオープンソースの TDS で、DriveSurge は少なくとも 2025 年 9 月から使用している。

zTDS は訪問者をプロファイリングし、ClickFix か FakeUpdates のどちらの「罠」が有効かを自動判定して振り分ける点が特徴的だ。

ClickFix と FakeUpdates:それぞれの手口

ClickFix

「技術的な問題を解決するために、このコマンドを実行してください」と誘導し、Windows の PowerShell コマンドをコピー&実行させる手口。ユーザー自身に悪意あるコマンドを実行させるため、エンドポイントセキュリティをすり抜けやすい。今回のキャンペーンでは macOS をターゲットにした亜種も確認されており、クリップボードを乗っ取る「verification テーマ」のページが macOS ユーザーに表示されていた。Windows だけの問題ではない。

FakeUpdates

Chrome・Firefox・Edge・Safari・Opera・Brave・Yandex・Vivaldi・Samsung Internet・UC Browser と、ほぼすべての主要ブラウザーになりすました偽アップデート画面を表示し、悪意あるペイロードをダウンロードさせる。Silent Push が確認した事例では、偽 Firefox アップデートが ZIP ファイル(複数の DLL と Browser Update.exe)を展開していた。

調査で判明したインフラ規模

Silent Push の研究チームは DriveSurge のインフラに関連する 8 つの技術的フィンガープリントを特定。これを起点に 80 以上の悪意ある注入ドメインと、まだ攻撃に使われていない「準備済みドメイン」のセットも発見している。攻撃インフラが計画的に用意されていることを示しており、今後さらなる拡大が懸念される。

実務への影響:日本のエンジニア・IT管理者が取るべき行動

即座にできる対策

  • ブラウザー更新は必ずアプリ内から行う(「設定」→「ヘルプ」→「Google Chrome について」等)。外部から表示されるアップデート画面は100%疑う
  • PowerShell コマンドをコピー&実行させる指示は即座に拒否。どんな正当な理由があっても、Web ページ経由でコマンドを実行させるサービスは存在しない
  • 社内ユーザー向けに「ブラウザー更新の正しい手順」を周知する。技術者でない社員がターゲットになりやすい

管理者・セキュリティ担当向け

  • zTDS の注入パターン(t.js?site= 含むスクリプトタグ)を Web フィルタリングや WAF のルールに追加することを検討
  • PowerShell の実行ポリシーおよびアプリケーション制御(AppLocker・WDAC)の設定を見直す
  • macOS 端末も対象であることを踏まえ、macOS の Endpoint Detection & Response(EDR)カバレッジを確認する
  • 自社が運営する Web サイトについても、JavaScript の改ざん検知を導入しているか確認する(攻撃者に踏み台にされる側にもなりうる)

筆者の見解

ClickFix と FakeUpdates の組み合わせは、技術的には目新しくない。しかし DriveSurge が zTDS で訪問者をリアルタイムに振り分け、ブラウザー種別や OS に応じた最適な罠を提示するという「精度の高さ」は注目に値する。IAB モデルで運用されている点も重要で、この感染基盤が何種類もの後続攻撃(ランサムウェア・情報窃取・バンキングトロイ等)に使い回されることを意味する。

セキュリティ意識が高いエンジニアでも、評判の高い正規サイト上で表示される偽アップデート画面は一瞬疑いが緩む。「このサイトは信頼できるから大丈夫」という安心感こそが攻撃者の狙い目だ。

もう一点、macOS 対応の亜種が確認されたことは見逃せない。「Mac はウイルスに強い」という神話を信じて EDR を入れていない企業は今でも多い。日本の現場でも macOS ユーザーへのセキュリティ教育と対策強化を、このタイミングで改めて見直してほしい。

今回のような大規模キャンペーンは、組織側の技術的な対策だけでは防ぎきれない部分がある。社員一人ひとりが「怪しいコマンドは実行しない」「ブラウザー更新はアプリ内から」という基本行動を体に染み込ませることが、最終的に最も効果的な防御線になる。

出典: この記事は Hackers hijack thousands of sites for ClickFix and FakeUpdate attacks の内容をもとに、筆者の見解を加えて独自に執筆したものです。