偽BSODで実行を誘導するClickFix攻撃が宿泊業を狙う仕組み整理

本記事が扱う事象は、ClickFix（クリックフィックス）と呼ばれるソーシャルエンジニアリング手口が、WindowsのBSOD（ブルー・スクリーン・オブ・デス）に見せかけた画面を使い、利用者自身にマルウェア実行を促す形へ拡張した点です。欧州の宿泊業（ホスピタリティ）を対象に、Booking.comになりすますフィッシング（phishing、詐欺メール）から誘導し、PowerShell（パワーシェル）などの正規機能を経由して感染を成立させる流れが報じられました。(BleepingComputer)
以上を踏まえると、脆弱性悪用よりも「操作の連鎖」を成立させる設計が中心となり、検知・抑止・教育の論点が分解して整理される局面といえます。(Microsoft)

• 事件の概要と狙われた業務文脈
• 偽BSODがClickFixの誘導に使われる理由
• 攻撃チェーンの流れと監視の焦点
• DcRAT到達までの段階とClickFix潮流での位置づけ
• 組織側の論点整理：表示・操作・正規ツール悪用への備え

事件の概要と狙われた業務文脈

欧州の宿泊業に対し、Booking.comになりすますメールから偽BSODへ誘導し、手動実行で感染を成立させるキャンペーンが確認されました。(BleepingComputer)
BleepingComputerの報道では、攻撃は12月に初期観測され、Securonixが「PHALT#BLYX」として追跡しているとされます。(BleepingComputer) 入口はホテル宛てのフィッシングメールで、内容は「宿泊予約のキャンセル」と「返金」を装い、業務処理として確認が必要に見える構成になっていました。(BleepingComputer) そのため、フロントや予約管理など、日常的に外部連絡を扱う職務に接続しやすい点が前提となります。

ただし、この手口は「メールを開いた時点で自動感染する」型ではありません。メールから誘導されたサイトで段階的に表示を切り替え、利用者の操作を積み重ねることで、最終的にOSのコマンド実行へ到達します。(BleepingComputer)
つまり、技術的な難度というより、業務の流れに入り込む設計が重要であり、次の論点は「なぜBSODの見た目が選ばれたか」に移ります。

偽BSODがClickFixの誘導に使われる理由

偽BSODは「画面が支配された」状況を作り、手順通りの操作へ誘導するための視覚的な枠組みとして機能します。(BleepingComputer)
本記事の対象となる事象では、誘導サイトが最初に「読み込みが長い」旨のエラーを表示し、ボタン操作を促します。(BleepingComputer) しかしボタンを押すと、ブラウザがフルスクリーンへ切り替わり、WindowsのBSOD風画面が表示されます。(BleepingComputer) ここで重要なのは、OSの実際の障害ではなく、Webページ上の演出である点です。

なお、報道では「正規のBSODは復旧手順を提示せず、エラーコードと再起動の案内が中心」と説明され、偽画面の見分け材料として示されています。(BleepingComputer) 一方で、ClickFix全体としては、CAPTCHA（キャプチャ）や更新通知、警告画面など、表示の種類を切り替えて同じ実行導線へつなぐ傾向が整理されています。(Microsoft)
言い換えると、BSODは「多様な誘導表現」の一部であり、次の論点は実際にどのような工程でマルウェアへ到達するかです。

攻撃チェーンの流れと監視の焦点

偽BSODは最終目的ではなく、Run（ファイル名を指定して実行）経由のコマンド実行へ到達させる中継点として配置されています。(BleepingComputer)
報道によれば、偽BSOD画面はRunダイアログを開かせ、CTRL+Vでクリップボードにコピーされたコマンドを貼り付けさせ、Enter等で実行させます。(BleepingComputer) その後、表向きはBooking.comの管理画面に似せたデコイ（decoy、おとり）ページを開きつつ、裏側で.NETのプロジェクト（v.proj）を取得し、正規のMSBuild.exeでコンパイルする流れが説明されています。(BleepingComputer)
この結果、防御側からは「正規ツールの連鎖」として見えやすく、単体のファイル検知だけでは分解して把握しにくい構造になります。

そのため、工程を分けて整理すると論点が明確になります。

ただし、ここでの特徴は「管理者権限の取得」と「永続化」が同じ流れに含まれる点です。記事では、Windows Defenderの除外設定追加、UAC（ユーザーアカウント制御）の昇格要求、BITS（バックグラウンド インテリジェント転送サービス）でのローダー取得、Startupフォルダへの.url配置による永続化が挙げられています。(BleepingComputer) なお、この一連の動きがEDR上では断片化して見える可能性があり、観測天をどこに置くかが追加確認点となります。

さらに、正規BSODと偽BSOD型ClickFixの差分も、判断材料として整理できます。

以上を踏まえると、次の論点は「最終ペイロード」と「ClickFix潮流の中での位置づけ」です。

DcRAT到達までの段階とClickFix潮流での位置づけ

本件はリモートアクセス型マルウェアの導入までを、MSBuildやBITSなどの正規機能で分割して進める点が特徴です。(BleepingComputer)
BleepingComputerの説明では、最終的にstaxs.exeとしてDcRAT（Remote Access Trojan、遠隔操作型トロイの木馬）が導入され、aspnet_compiler.exeへのプロセスホロウイング（process hollowing、空洞化）でメモリ内実行が行われたとされます。(BleepingComputer) その後、C2（Command and Control、指令サーバー）へ端末情報を送信し、遠隔デスクトップ、キーロギング、リバースシェル（reverse shell、逆接続シェル）などの機能を持つと整理されています。(BleepingComputer) また、観測例では暗号資産マイナーが追加投入された点も触れられています。(BleepingComputer)

一方で、ClickFix自体は「利用者に命令を実行させる」型として複数の攻撃者に利用され、情報窃取（infostealer、インフォスティーラー）やRAT、ローダーへ接続することがMicrosoftも整理しています。(Microsoft) Unit 42は、2025年にNetSupport RAT、Latrodectus、Lumma Stealer（ルンマ・スティーラー）などへの配布でClickFixが使われた事例をまとめています。(Unit 42)
つまり、偽BSODは表現の新規性であり、手口の核は「実行主体を端末利用者に置く」点にあります。ここから先は、組織側で論点がどう分かれるかを整理します。

組織側の論点整理：表示・操作・正規ツール悪用への備え

ClickFix対策は「フィッシング遮断」「操作の抑止」「正規ツール悪用の検知」という3層で分解すると要点が崩れにくいです。(Microsoft)
まず入口対策は、ブランドなりすましメールと誘導URLの扱いです。HC3（米国保健福祉省の部門）がClickFixをソーシャルエンジニアリング型の攻撃として整理し、複数のマルウェア配布やメールフィッシングと結び付くと述べています。(厚生労働省) この点から、メールゲートウェイやDNSでの遮断、なりすましドメインの監視といった設計は従来枠の延長にあります。

ただし、本件のようにRunやPowerShellを「自分で実行する」行為が中心にある場合、教育だけでなく操作制御も論点になります。Microsoftは、ClickFixが利用者の操作を攻撃チェーンに組み込み、従来の自動防御をすり抜ける可能性に言及しています。(Microsoft) そのため、Runの利用状況、PowerShellの実行ポリシー、MSBuildの異常利用、BITSの不審ジョブなど、正規機能の利用を前提にした監視設計が判断材料になります。(BleepingComputer)

他方、ClickFixは表示を変えながら同じ導線へ接続するため、視覚的な「それらしさ」だけでは分類しにくい側面があります。実際、2025年には偽のWindows Update（ウィンドウズ更新）画面を模した派生が報告され、画像内にデータを隠す形で配布要素を組み込む動きも示されています。(Malwarebytes)
要点を整理すると、偽BSODという表層表現に依存せず、「貼り付け実行」「正規ビルド/転送機能の連鎖」「永続化の置き場所」という構造で追うことが、実務上の確認点となります。