本記事が扱う事象は、欧州のホスピタリティ業界(宿泊・旅行関連事業者)に対し、予約サイトを装ったメールから「Blue Screen of Death(ブルースクリーン)」を見せてマルウェアへ誘導する攻撃です。2025年12月下旬に観測された活動として、Securonixが「PHALT#BLYX」と呼ぶ多段階の感染手口が報告され、複数のセキュリティ媒体が2026年1月上旬に相次いで詳細を伝えました。 (The Record from Recorded Future)
- 予約キャンセル通知から始まる「偽障害」誘導の全体像
- ClickFix(クリック誘導修復)型の感染工程を段階で分ける
- DCRatの位置づけと「ロシア関連」とされた根拠
- ClickFixが繰り返し使われる背景と、過去キャンペーンとの連続性
- 宿泊業務の運用条件から見た、実務上の確認点
予約キャンセル通知から始まる「偽障害」誘導の全体像
攻撃は「予約キャンセル通知」を装うメールを起点に、偽のOS障害画面で操作を促して感染に至る構造です。 (The Record from Recorded Future)
Securonixの報告や各社記事によると、最初の接点は宿泊予約に関わる担当者へ届くフィッシングメールです。件名が「Reservation Cancellation(予約キャンセル)」となっている例が多く、本文にはユーロ建ての請求額が記載され、確認行為に結びつく導線が置かれます。ここで重要なのは、侵入がソフトウェア脆弱性の悪用ではなく、担当者の操作を感染のトリガーとして組み立てている点です。 (The Record from Recorded Future)
そのため、クリック後に表示されるのは「予約内容の確認ページ」ではなく、予約サイトの管理画面を模した偽サイトになります。偽サイト上で「読み込みが遅い」等のブラウザ風エラーが示され、さらに「Blue Screen of Death(ブルースクリーン)」の表示へ移行し、復旧手順としてWindowsの「ファイル名を指定して実行」へ貼り付ける操作が指示されます。つまり、画面遷移そのものが“トラブル対応の手順”として設計されており、業務の確認行為と復旧行為が同じ流れに統合されています。 (The Record from Recorded Future)
ただし、この手口は予約ブランドの模倣だけで成立しているわけではありません。後続の実行段階で、Windowsに標準で存在し得るツールや運用上よく許容されがちな機能が組み合わされ、検知や遮断を回避しやすい実装へ寄せられている点が、次の論点になります。 (The Hacker News)
ClickFix(クリック誘導修復)型の感染工程を段階で分ける
本件の中核はClickFix(クリック誘導修復)と呼ばれる「コピー&ペースト型の実行誘導」を多段にした点です。 (マイクロソフト)
各報告をつなげると、感染は概ね「誘導」「実行」「常駐」「遠隔操作」の4層に整理できます。まず誘導層では、偽サイトがCAPTCHA(画像認証)風の画面やブラウザ風エラーを出し、次に偽BSOD表示で“復旧操作”を求めます。この結果、被害端末側でPowerShell(Windowsの自動化シェル)コマンドが実行され、追加ファイルの取得と次段の起動へ進みます。 (The Hacker News)
その後は、MSBuild.exe(Microsoft Build Engine:Microsoftビルドエンジン)を用いて、取得したプロジェクトファイル(.proj)内の処理を実行する流れが示されています。Securonixは、MSBuildの悪用でペイロード実行を“正規ツール経由”に寄せている点を特徴として挙げています。なお、同社記事の要約部には「MSBuid.exe」と記載されており、文脈上はMSBuild.exeを指す表記ゆれとみられます。 (Securonix)
そうすることによって、最終的にDCRat(遠隔操作型トロイの木馬)へ到達します。報道ベースでは、DCRatがキーストロークの取得(keylogging:キー入力記録)などを含む遠隔操作機能を持つと説明され、端末が“操作可能な足場”になることが問題の中心になります。 (The Record from Recorded Future)
以上を踏まえると、工程整理は次の形になります。
| 段階 | 表向きの表示 | 実際の処理 | 実務上の要点 |
|---|---|---|---|
| 1 | 予約キャンセル確認 | 偽サイトへ誘導 | 業務メールに紛れる |
| 2 | CAPTCHA/読み込みエラー | 操作を追加要求 | クリックで次画面へ |
| 3 | 偽BSOD | コマンド貼付を指示 | 端末内で実行が発生 |
| 4 | “正規ツール”実行 | MSBuild経由で展開 | 検知・制御が論点 |
ただし、工程表だけでは「端末内で何が変えられるか」が見えにくい面があります。そこで観測点を機能別にまとめると、次のように整理できます。 (The Hacker News)
| 技術要素 | 使われ方 | 目的 | 代表的な影響 |
|---|---|---|---|
| PowerShell | 取得・起動の入口 | 次段の展開 | 外部取得が発生 |
| MSBuild.exe | .projを実行 |
代理実行 | 正規プロセスに寄る |
| Defender除外 | 設定変更 | 検知回避 | 監視の穴が生じる |
| Startup常駐 | .url等 |
永続化 | 再起動後も動く |
なお、報道では、処理の最中に正規の予約ページを開く動作が含まれる例も触れられています。言い換えると、画面上の整合性を維持しつつ、裏側で感染が進む構成です。 (The Record from Recorded Future)
DCRatの位置づけと「ロシア関連」とされた根拠
ロシア関連が示唆された理由は、DCRatの流通圏と、開発・運用痕跡(言語・インフラ)が重なった点にあります。 (The Record from Recorded Future)
DCRatは、Dark Crystal RAT(ダーク・クリスタルRAT)としても言及される遠隔操作型マルウェアで、過去の利用例が複数報告されています。今回のキャンペーンでは、DCRatが端末操作の基盤となり得る点が強調され、キーログなどを通じて業務アカウントや運用情報へ到達するリスクが論点になります。 (The Record from Recorded Future)
そのうえで「ロシア関連」とされる根拠は単独ではありません。The Recordは、MSBuildプロジェクトファイル内のロシア語デバッグ文字列・コマンド、インフラの地理情報、DCRatがロシア語圏のアンダーグラウンドで広く売買される点など、複数の指標が挙げられたとしています。Securonixも、ファイル内言語痕跡を結びつける形で説明しています。 (The Record from Recorded Future)
一方で、地理情報や言語は偽装余地があるため、帰属(attribution:攻撃者特定)の確度は指標の積み重ねで評価されます。Dark Readingは、DCRatがロシアの開発者に関連するとされ、ロシア語圏の攻撃者が用いる文脈で語られやすい点にも触れています。つまり、今回は「攻撃の手口」だけでなく「選択されたツール」が帰属判断の材料として扱われています。 (Dark Reading)
なお、報道によってはウクライナ関連の過去事例に言及するものもありますが、今回の被害対象は欧州の宿泊事業者が中心とされています。この点から、対象選定は地政学よりも「業務メールの特性」と「繁忙期の運用」へ寄っている可能性があり、次にClickFixの文脈で整理します。 (Dark Reading)
ClickFixが繰り返し使われる背景と、過去キャンペーンとの連続性
ClickFixは「自動防御を回避しやすい手動実行」を前提にするため、予約業務のメール運用と結合しやすい手口です。 (マイクロソフト)
Microsoftは2025年3月、Booking.comを装うフィッシングでClickFixが使われた事例を解説し、ユーザーにRun(実行)を開かせてコマンドを貼り付けさせる流れが、従来型の自動検知をすり抜けやすいと説明しています。Microsoftはこの活動をStorm-1865として追跡し、地域として欧州だけでなく北米・アジアなど幅広い範囲を対象にし得る点にも触れました。 (マイクロソフト)
この結果、ClickFixは「リンクを踏ませる」だけでは完結せず、「端末上の実行」を本人にやらせる設計になります。そうすることによって、添付ファイルの危険判定やダウンロード遮断といった入口対策を越え、OS標準機能の利用に見せた形で処理が進みます。今回のPHALT#BLYXは、偽CAPTCHAから偽BSODへ移し、さらにMSBuildを組み合わせることで、同じ思想をより段階化した例と位置づけられます。 (Securonix)
ただし、ClickFixは単一のマルウェアを指す名称ではありません。言い換えると「人の操作を挟む感染パターン」の総称に近く、過去には認証情報窃取型マルウェアへつなぐ説明もなされています。したがって、PHALT#BLYXの固有点は、DCRatへ至るまでにMSBuildプロジェクトや永続化を組み込み、感染後の継続利用を重視している構造にあります。 (マイクロソフト)
他方、宿泊業界では外部予約・決済・問い合わせが多く、メールの真正性確認が業務効率と競合しやすい面があります。この条件差が、ClickFixが狙う「手動実行」を成立させやすい環境要因になり、最後に実務上の論点として整理します。 (The Record from Recorded Future)
宿泊業務の運用条件から見た、実務上の確認点
最大の論点は、予約対応の現場で「外部リンク確認」と「端末操作」が同じ担当線に乗りやすい運用構造です。 (The Record from Recorded Future)
本記事が示す状況では、攻撃者は予約キャンセルや請求確認を入口にし、担当者の端末で実行まで進めます。そのため、メールゲートウェイやURLフィルタだけで完結しにくく、端末側の実行制御・監視が実務上の確認点となります。とくにMSBuild.exeの悪用は、開発端末では正規利用もあり得る一方、宿泊施設のフロント端末等では通常利用が限定的な場合があります。以上を踏まえると「どの端末で何が動くべきか」を棚卸しできているかが、判断材料として重要です。 (The Hacker News)
また、報告ではMicrosoft Defender(Microsoftのウイルス対策)に対する除外設定や無効化に言及があります。ここから、端末防御が単に“検知する”だけでなく、“設定変更の監視”を含む運用になっているかが問われます。さらに永続化としてStartupフォルダが使われたとされるため、ログオン時に起動する要素の監視と突合が成立しているかも論点になります。 (The Hacker News)
ただし、現場に近い観点では「予約サイトの管理画面へアクセスする」行為自体は日常業務です。そうである以上、ブランド模倣の判定を個人の注意に過度に依存すると、判断がばらつく可能性があります。言い換えると、メール本文に誘導ボタンがあるか、リンク先が正規ドメインか、Run起動やコマンド貼付を要求するか、といった“操作の種類”で線引きし、例外処理を標準化しているかが実務設計の焦点になります。 (マイクロソフト)
なお、今回の報道は欧州の宿泊事業者を中心にしていますが、Microsoftが示した過去の追跡例は地域が広範です。したがって、予約プラットフォームを介する業務全般に対し、同系統の誘導が再利用される余地は残ります。こうした連続性を前提に、端末実行の“通常”を定義できているかが、今後の整理軸になります。 (マイクロソフト)
