iClicker logo over an empty college classroom

学生参加型プラットフォームとして人気の iClicker のウェブサイトが、偽の CAPTCHA プロンプトを使った ClickFix 攻撃を受け、学生や講師を騙して端末にマルウェアをインストールさせる被害に遭った。

iClickerはMacmillanの子会社であり、講師が出席を取ったり、ライブで質問やアンケートを行ったり、生徒のエンゲージメントを追跡したりできるデジタル授業ツールである。ミシガン大学、フロリダ大学、カリフォルニア州の大学など、全米の大学で5,000人の教官と700万人の学生に広く利用されている。

ミシガン大学のセーフ・コンピューティング・チームによるセキュリティ・アラートによると、iClickerのサイトは2025年4月12日から4月16日の間にハッキングされ、偽のCAPTCHAを表示させ、ユーザーに「私はロボットではありません」を押して本人確認をするよう指示していた。

しかし、訪問者が認証プロンプトをクリックすると、「ClickFix」と呼ばれるソーシャル・エンジニアリング攻撃により、PowerShellスクリプトがWindowsのクリップボードに無言でコピーされた。

このCAPTCHAは、ユーザーにWindowsの「ファイル名を指定して実行」ダイアログを開き(Win + R)、PowerShellスクリプトを貼り付け(Ctrl + V)、Enterキーを押してスクリプトを実行するよう指示します。

Example of a fake CAPTCHA in a ClickFix attack
ClickFix 攻撃における偽の CAPTCHA の例
Source:SilentPush

ClickFix攻撃はもはやiClickerのサイトでは実行されていないが、Redditのある人物がAny.Runでコマンドを起動し、実行されるPowerShellペイロードを明らかにした。

iClicker攻撃で使用されたPowerShellコマンドは、かなり難読化されていましたが、実行されると、http://67.217.228[.]14:8080のリモートサーバーに接続し、実行される別のPowerShellスクリプトを取得します。

Obfuscated PowerShell script used in iClicker ClickFix attack
iClicker ClickFix攻撃で使用された難読化されたPowerShellスクリプト
ソースは こちら:

残念ながら、取得されたPowerShellスクリプトは訪問者のタイプによって異なるため、最終的にどのようなマルウェアがインストールされたのかは不明です。

標的を絞った訪問者に対しては、マルウェアをコンピュータにダウンロードするスクリプトが送信されることになる。ミシガン大学によると、このマルウェアによって、脅威者は感染したデバイスにフルアクセスできるようになったという。

マルウェア解析のサンドボックスなど、標的になっていないユーザーに対しては、スクリプトが代わりに、以下のように正規のMicrosoft Visual C++ Redistributableをダウンロードして実行する。

iwr https://download.microsoft.com/download/9/3/f/93fcf1e7-e6a4-478b-96e7-d4b285925b00/vc_redist.x64.exe -out "$env:TMP/vc_redist.x64.exe"; & "$env:TMP/vc_redist.x64.exe"

ClickFix攻撃は、CloudflareのCAPTCHAや Google Meetウェブブラウザのエラーを装うものなど、数多くのマルウェアキャンペーンで使用されているソーシャルエンジニアリング攻撃として広まっている。

過去のキャンペーンから、この攻撃は、Google Chrome、Microsoft Edge、Mozilla Firefox、その他のChromiumブラウザからCookie、認証情報、パスワード、クレジットカード、閲覧履歴を盗むことができるinfostealerを配布している可能性が高い。

このタイプのマルウェアは、暗号通貨ウォレット、秘密鍵、機密情報を含む可能性の高いテキストファイル(seed.txt、pass.txt、ledger.txt、trezor.txt、metamask.txt、bitcoin.txt、words、wallet.txt、*.txt、*.pdfなど)も盗み出すことができる。

このデータはアーカイブに集められ、攻撃者に送り返され、さらなる攻撃に利用されたり、サイバー犯罪のマーケットプレイスで販売されたりする。

盗まれたデータは、ランサムウェア攻撃につながる大規模な侵害を行うために使用されることもある。この攻撃は大学生や講師をターゲットにしていたため、大学のネットワークで攻撃を行うための認証情報を盗むことが目的だった可能性がある。

今週、マクミラン社にこの攻撃に関する質問を複数回問い合わせたが、回答はなかった。

しかしその後、iClicker社が5月6日に自社のウェブサイトでセキュリティ情報を公開したものの、そのページのHTMLに<meta name='robots' content='noindex, nofollow' />タグが含まれており、検索エンジンにインデックスされないようにしていたため、この事件に関する情報を見つけることが難しくなっていたことが判明した。

iClicker security bulletin published with a noindex tag
noindexタグ付きで公開されたiClickerのセキュリティ情報
ソースは こちら:

「最近、iClicker のランディングページ(iClicker.com)に影響するインシデントを解決しました。重要なことは、iClickerのデータ、アプリ、業務に影響がなかったことと、iClickerのランディングページで確認された脆弱性が解決されたことです。

「何が起こったかというと、ある無関係の第三者が、ユーザーが当社のウェブサイトからiClickerにログインする前に、当社のiClickerランディングページに偽のCaptchaを設置したのです。このサードパーティは、残念ながら最近フィッシングメールでよく経験するような、偽のCaptchaをユーザーにクリックさせることを狙っていました。”

“慎重を期して、4月12日から4月16日にかけて当ウェブサイトで偽のキャプチャーに遭遇しクリックした教職員や学生には、デバイスが保護された状態に保たれるよう、セキュリティソフトを実行することをお勧めします。”

サイトがハッキングされている間にiClicker.comにアクセスし、偽のCAPTCHAの指示に従ったユーザーは、直ちにiClickerのパスワードを変更し、コマンドが実行された場合は、コンピュータに保存されているすべてのパスワードを、サイトごとに固有のものに変更する必要があります。

そのためには、BitWardenや1Passwordのようなパスワード・マネージャーを使うことをお勧めする。

なお、モバイルアプリからiClickerにアクセスしたユーザーや、偽のCAPTCHAに遭遇しなかったユーザーは、この攻撃のリスクはない。

.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px; width: 100%; } .ia_button { width: 100%; } .


Red Report 2025

攻撃の93%を支えるMITRE ATT&CK©テクニック・トップ10

1,400万件の悪意のあるアクションの分析に基づき、攻撃の93%を支えるMITRE ATT&CKテクニックのトップ10とその防御方法をご覧ください。