本記事の対象となる事象は、欧州のホテルなど宿泊事業者を狙い、偽の予約キャンセル通知から偽サイトへ誘導し、ブラウザ上に「Windowsのブルースクリーン(BSOD)」を表示して操作を誤認させ、従業員自身にコマンド実行をさせる形でマルウェア感染へつなげる攻撃です。報道と研究者レポートでは、この一連の流れがClickFixと呼ばれる誘導手口の系統として説明され、最終的に遠隔操作型マルウェア(RAT)のDCRatが展開される点が共通しています。(BleepingComputer)
- 予約キャンセル偽装から感染へつながった全体像
- 偽サイトで何が起きるか:偽CAPTCHAと偽BSODの役割
- 実行後に展開される技術要素:PowerShellとMSBuild悪用
- ClickFixの論点整理:現場で起きる誤認点と確認観点
- 帰属と今後の整理軸:ロシア語痕跡、業界特性、波及の可能性
予約キャンセル偽装から感染へつながった全体像
欧州の宿泊事業者を中心に、偽の予約キャンセル通知を起点とする多段階の感染チェーンが観測されています。(The Hacker News)
複数の報道では、ホテル従業員が「Booking.comを装うメール」を受け取り、記載リンクから偽サイトへ遷移する流れが示されています。(BleepingComputer) そのため、一般的な「添付ファイルを開かせる」型よりも、業務で日常的に扱う問い合わせ導線が悪用された点が実務上の確認点となります。
一方で、本件は単一の画面偽装で完結せず、偽CAPTCHA(画像認証)や偽エラー表示を段階的に重ね、最後に偽BSODへ到達させる設計が説明されています。(BleepingComputer) つまり、受信者の判断を一点で崩すのではなく、複数の「手順」を踏ませることで、操作の正当性を誤認させる構造です。
なお、攻撃活動は2025年12月に最初に確認されたとされ、年末年始の時期に宿泊関連の連絡が増える事情も踏まえた標的設定だと分析されています。(BleepingComputer) この点から、季節要因と業務負荷が誘導成功率に影響し得る、という論点が残ります。
偽サイトで何が起きるか:偽CAPTCHAと偽BSODの役割
偽サイトは、正規ページに近い外観で利用者を受け止めた上で、偽エラーと偽BSODに切り替える設計です。(BleepingComputer)
報道と分析では、メール内リンクから偽のBooking.comページへ遷移し、そこで「読み込みが遅い」などのブラウザエラー表示を出した後、更新ボタン操作を契機に全画面化して偽BSODへ移る流れが整理されています。(BleepingComputer) そうすることによって、単なるWebページ閲覧から、OS障害が起きたという誤認に切り替えやすくなります。
他方、偽BSODの画面には「復旧手順」として、Windowsの「ファイル名を指定して実行(Run)」を開き、貼り付けて実行する指示が含まれるとされています。(BleepingComputer) ただし、実際のBSODは復旧手順を提示する画面設計ではない、とも説明されています。(BleepingComputer)
この結果、利用者が自分でコマンドを実行した形になるため、ブラウザからの自動ダウンロード検知や一部の自動防御を迂回しやすい、という攻撃側の狙いが示されています。(ザ・レジスタ) 次に整理すべきは、貼り付け実行の中身が何をしているかです。
実行後に展開される技術要素:PowerShellとMSBuild悪用
貼り付け実行の正体はPowerShell経由の取得処理で、正規ツールMSBuild.exeを悪用してDCRatへ到達します。(BleepingComputer)
報道では、貼り付けられるコマンドがPowerShellを起動し、追加ファイルを外部から取得する起点になる点が示されています。(The Hacker News) さらに、取得した.NET系プロジェクトファイル(例:v.proj)を、Windows標準のMSBuild.exeでコンパイル・実行する流れが説明されています。(The Hacker News)
その後の挙動として、Microsoft Defenderの除外設定追加、スタートアップフォルダへの配置による永続化、正規管理画面を開いて利用者の操作を紛らせる処理が挙げられています。(BleepingComputer) 以上を踏まえると、攻撃は「怪しい実行ファイルを直接落とす」よりも、正規コンポーネントの連鎖で痕跡を業務動作に混在させる設計だと言い換えられます。
最終的に展開されるDCRatは、遠隔操作の基盤となり得るRATとして説明され、キーログなどの機能に触れる報道もあります。(The Record from Recorded Future) ただし、被害範囲は環境ごとに条件差が生じる可能性があるため、感染端末が予約管理・会計などどの業務へ接続していたかが、影響評価の判断材料として重要です。
ClickFixの論点整理:現場で起きる誤認点と確認観点
ClickFixは「エラー解消」を装い、利用者に自分の手でコマンド実行させる点が中核です。(BleepingComputer)
本件では、偽CAPTCHAや偽エラー画面を挟みつつ、最終的にRunダイアログへの貼り付け実行へ誘導されます。(BleepingComputer) そのため、手順が「正しい操作」に見えるかどうかが分岐点になり、教育・運用・監視のどこで検知するかが論点になります。
ただし、確認点を文章だけで共有すると現場で再現しにくい面があります。そこで、画面と手順の整理を先に置きます。
| 画面・指示の例 | 本来の挙動 | 確認の観点 | コピペ実例 |
|---|---|---|---|
| 「読み込みが遅い」→更新 | Web表示の範囲 | URL/ドメイン確認 | 「社内手順:予約サイトのURLはブックマークのみ使用」 |
| 偽BSODでRun起動を指示 | OS障害の画面ではない | 全画面=OS障害とは限らない | 「Runに貼り付け指示が出た時点で作業停止」 |
| Ctrl+Vで貼り付けさせる | クリップボード悪用 | 貼り付け内容の確認 | 「貼り付け前に内容をメモ帳へ移す」 |
他方、運用側のログ視点では「PowerShell→外部取得→MSBuild実行」という連鎖が共通項になりやすいとされています。(BleepingComputer) そこで、監視・調査で使われる整理軸も並べます。
| 観測されやすい要素 | 例 | 意味合い | コピペ実例 |
|---|---|---|---|
| PowerShell起動 | クリップボード由来 | 手順実行の痕跡 | 「該当端末:PowerShell実行履歴を保全」 |
| MSBuild.exe実行 | .proj利用 | 正規ツール悪用 | 「MSBuildの実行元パスと引数を記録」 |
| スタートアップ書き込み | .url等 | 永続化の可能性 | 「スタートアップ配下の新規ファイル一覧」 |
要点を整理すると、「画面の真正性」と「実行連鎖」の2軸で記録を集めることが確認点となりす。ここまでの整理を前提に、次は帰属(誰がやったか)と拡散可能性を扱います。(BleepingComputer)
帰属と今後の整理軸:ロシア語痕跡、業界特性、波及の可能性
複数メディアはロシア関連の関与可能性に触れる一方、現時点では技術痕跡にもとづく整理が中心です。(ザ・レジスタ)
研究者側は、メール文面の通貨(ユーロ建て)や標的業種から欧州を狙う意図がうかがえるとし、MSBuildプロジェクト内の言語痕跡なども示唆材料として挙げています。(Securonix) ただし、帰属は偽装が可能で、断定には追加確認が必要となる点が残ります。
また、ClickFixは宿泊業に限らない概念として継続的に観測され、別事例では偽のWindows Update(Windows更新)画面を使う誘導が報告されています。(Acronis) この点から、今回の「偽BSOD」は誘導画面の一形態であり、業務で扱うテーマ(予約、請求、返金)に合わせて差し替えられる余地があります。
以上を踏まえると、今後の整理軸は三つです。第一に、宿泊事業者の業務端末がどの権限とネットワークに接続しているか。第二に、PowerShellやMSBuildの利用が業務上どこまで許容されているか。第三に、偽サイトへ誘導するドメイン群の更新速度です。これらは「単発のフィッシング」ではなく、運用設計の前提を突く攻撃として再整理する必要がある、という位置づけになります。(The Hacker News)
