マルウェアの手口は年々巧妙化しており、近年では「ファイルを開かせる」「リンクを踏ませる」だけでなく、ユーザー自身にコマンドを実行させるという手法も確認されています。
特に注目されているのが、「偽のブルースクリーン(BSOD)」を模倣したWeb画面で「この問題を解決するには以下のコマンドを実行してください」と誘導する手口です。
ClickFix戦術と呼ばれ、攻撃者が送り込むのではなく、ユーザーの操作を利用して感染を成立させるのが特徴です。さらに、PowerShellやMSBuildなどWindows標準ツールを悪用することで、セキュリティ製品をすり抜ける「LotL(Living off the Land)」も組み合わされています。
本記事では、このClickFixを核とする多段階マルウェア攻撃キャンペーン「PHALT#BLYX」の概要、攻撃の流れ、被害、具体的な対策について解説します。
目次
PHALT#BLYXとは
PHALT#BLYX(フォルト・ブリックス)は、Securonixなどのセキュリティ研究者が命名した、ClickFix戦術を軸にした多段階のマルウェア攻撃キャンペーンです。
単体のウイルスではなく、複数の手口・ツール・インフラを組み合わせた一連の攻撃群を指します。
このキャンペーンは2024年末〜2025年初頭にかけて確認され、欧州のホテル・宿泊業界が主な標的とされました。典型的な攻撃の流れは以下の通りです。
- Booking.comを装った偽の予約キャンセル通知メールを送信
- リンク先の偽サイトで、偽CAPTCHAやブラウザ風エラー画面を表示
- 全画面で偽のBSOD(ブルースクリーン)を表示し、コマンド実行を誘導
- PowerShell経由でMSBuildを起動し、プロジェクトファイル(v.proj)を実行
- DCRat(リモートアクセス型マルウェア)を展開し、端末を遠隔操作
特に、偽BSOD×ClickFixでユーザーにコマンドを実行させ、PowerShell×MSBuildといった正規ツールを悪用する点が、検知を回避する巧妙な仕掛けとなっています。
出典:ZDNET Japan
偽のブルースクリーン攻撃(ClickFix型)とは
ClickFix型攻撃とは、偽のエラー画面を使ってユーザーにコマンドを実行させるソーシャルエンジニアリング型のマルウェア手法です。
Windowsのブルースクリーン(BSOD)そっくりの画面をWeb上に表示し、「以下のコマンドを実行すれば修復できます」などと案内し、ユーザーは自らPowerShellを起動し、攻撃者の用意したコードを実行してしまいます。
PHALT#BLYXに用いられるClickFix戦術の手口
PHALT#BLYXでは、「偽のブルースクリーン(BSOD)」をWeb上に表示し、「この問題を解決するには以下のコマンドを実行してください」とユーザーを誘導する ClickFix戦術 が使われます。
この手法の最大の特徴は、ユーザー自身の操作(Win+Rでのコマンド実行)を引き出し、正規ツール(PowerShell・MSBuild)を用いてマルウェア感染を成立させる点にあります。以下に、この攻撃のステップを整理します。
① 偽の予約キャンセルメールを送信
攻撃は、Booking.comを装った偽のキャンセル通知メールから始まります。「高額なキャンセル料が発生します」など不安を煽る文面で、リンクをクリックさせます。リンク先は正規サイトに酷似した偽の予約確認ページです。
>【注意喚起】フィッシング詐欺とは?手口・防止法・被害時の対処法まで徹底解説
② 偽サイトでCAPTCHA風エラー画面を表示
偽ページでは「読み込みに時間がかかっています」などのブラウザ風エラーメッセージや偽CAPTCHAが表示されます。これらは本物の機能ではなく、操作を誘導するためのHTML偽装です。心理的に自分で解決すべきと思わせる前段階として機能します。
③ 偽のブルースクリーンを全画面表示
「更新」ボタンを押すと、ブラウザが全画面化し、WindowsのBSOD風の画面が表示されます。青い背景・エラーコード・進捗バーなどで「システムがクラッシュした」と錯覚させ、操作を急がせる心理状態に追い込みます。
④ PowerShellコマンド実行を誘導
画面には「以下のコマンドをWin+Rで実行してください」と具体的な操作手順が表示されます。このとき、悪意あるPowerShellコマンドが自動でクリップボードにコピーされており、ユーザーがそのまま貼り付けて実行してしまう構図です。
このコマンドは、MSBuild用のプロジェクトファイル(v.proj)をダウンロードし、msbuild.exeで実行するものです。その後、Windows Defenderの除外設定が変更され、DCRat(遠隔操作マルウェア)が展開し、端末は攻撃者によって完全に制御された状態になります。
このように、ClickFix戦術はユーザーの操作を使って正規ツールを悪用し、検知を回避しながら感染を成立させる極めて巧妙な手法です。
出典:ZDNET Japan
PHALT#BLYXキャンペーンが成立した場合に生じる影響
偽のブルースクリーン(BSOD)に従ってコマンドを実行してしまうと、端末はDCRatにより完全に遠隔制御された状態となり、情報漏えい・業務停止・ネットワーク全体への拡散など、深刻な被害へとつながるおそれがあります。
端末の乗っ取りと情報の窃取
DCRatに感染すると、キーボード操作の記録(キーロガー)、画面キャプチャ、ファイルの読み書き、マイク・カメラの操作などが遠隔で可能になります。これにより、社内システムへのログイン情報、業務ファイル、社外秘資料、顧客データなどが、ユーザーの気づかぬうちに盗まれるリスクがあります。
正規機能を悪用した検知回避と持続化
マルウェアはPowerShell経由でAdd-MpPreferenceを実行し、Windows Defenderの除外設定を改ざんします。また、ProgramData配下に配置されたDCRatローダーを、スタートアップフォルダの.urlショートカットから自動起動させることで、再起動後もマルウェアが常駐し続ける状態を維持します。
>Windows Defenderはマルウェア対策に十分?機能・注意点・検出後の対応まで徹底解説
ネットワーク内での横展開
感染した端末は踏み台として利用され、ネットワーク内の他PC・サーバに対して感染が広がる「ラテラルムーブメント(横展開)」が発生する可能性があります。このような内部拡散は、ランサムウェア攻撃や追加マルウェア投下のきっかけにもなります。
信用・法的責任・経済的損失
DCRatによって、予約情報や顧客の氏名・連絡先・宿泊履歴・支払データなどが流出すると、個人情報保護法違反・プライバシー侵害に発展する恐れがあります。結果として、行政指導・損害賠償・炎上・風評被害・契約解除など多面的なダメージが発生し、信用の喪失と業務停止による直接的な経済損失にもつながります。
個人利用端末における被害
この攻撃は企業だけでなく、個人のPCにおいても大きな被害を及ぼします。ネットバンキングやECサイト、SNSなどのアカウント情報が窃取され、不正送金やなりすましが発生する可能性があります。さらに、写真・動画・文書・メールなどの私的データが流出し、ばらまき・恐喝・晒し行為に悪用される事例も報告されています。
PHALT#BLYXキャンペーンへの実践的な防御策
PHALT#BLYXのような攻撃は、OSやソフトの脆弱性だけでなく、ユーザーの判断ミスを意図的に誘導する心理的トリックに大きく依存しています。
そのため、以下に示すような「ユーザー教育・EDR監視・通信制御・初動フロー・事前備え」を多層的に組み合わせた防御戦略が重要です。
1. ユーザー教育と運用ルール
ClickFix型攻撃の多くは、「画面上の手順通りに操作してしまう」ことで成立します。事前にその特徴を教育し、操作しないことをルール化するだけで、攻撃の大半を防げます。
- Win+Rでコマンドを貼り付けさせる指示は100%詐欺:このフローを覚えさせ、「即中断・報告」が反射的にできるようにします。
- 返金や予約関連のメールには要注意:リンクを踏まず、公式アプリやブックマークから確認するよう周知しましょう。
- 全画面の偽BSODが出たら入力せず閉じる:Alt+F4またはブラウザ終了で閉じ、情シス・管理者に画面を共有するフローを整備します。
2. EDR・エンドポイント監視の最適化
LotL型マルウェアに対抗するには、振る舞い検知型EDRによる監視が有効です。
- PowerShell・MSBuildの実行監視:不審な長文コマンドや`.proj`ファイルの起動、非開発環境でのmsbuild.exe実行を検出対象に。
- Defender除外設定の変更を検知:
Add-MpPreferenceの使用があれば即アラート化。 - スタートアップ登録の監視:`.url`や`.exe`ファイルの自動生成を自動隔離するルールを適用。
- 個人端末も守る:EDR機能付きのセキュリティソフトで「スクリプト・PowerShell監視」を有効化しておく。
3. メール・Web側の技術的ブロック
攻撃の入口であるフィッシングメール・偽サイトへのアクセスを、メール・DNS・プロキシで事前遮断します。
- URL・ドメインフィルタ:不審なリンクや偽予約サイトのドメイン(例:Bookingを偽装)をフィルタリング。
- DNS・プロキシによる制限:悪性IP・C2ドメイン・広告配信サーバ等への通信を遮断。
- MFAの導入:万一ログイン情報が盗まれても、二要素認証で不正アクセスをブロック。
4. インシデント発生時の初動フロー
コマンドを実行してしまった場合は、慌てず冷静に「通信遮断・情報保全・報告」を実施しましょう。
- まずネットワーク遮断:LANケーブルを抜く・Wi-Fiをオフにして通信を遮断。
- 通信遮断と端末の操作停止:被害拡大を防ぐため、まず通信を遮断し、端末の操作を中断して管理者の指示を待つ。
- 画面の撮影・報告:表示されたBSODやコマンド内容をスマホで撮影し、担当者に連絡。
5. 日常的な備えと復旧体制
事前準備によって、被害規模や復旧スピードを大きく左右できます。
- OS・ソフトを常に最新に保つ:既知の脆弱性をふさぐことで、余計な被害リスクを排除。
- 定期的なバックアップと復元テスト:感染後でも速やかにシステムを初期状態に戻せるよう備えておく。
- ログの保全運用:PowerShell実行履歴やEDRログが残っていれば、被害範囲の特定・再発防止に活かせます。
これらの対策は、PHALT#BLYXに限らず、ClickFix戦術を応用したマルウェア全般に有効です。重要なのは、社内ポリシーや教育、端末設定などを自社の業種や規模に合わせて段階的に整備していくことです。
多くの組織では「セキュリティソフトを入れていれば大丈夫」と考えがちですが、現在のサイバー攻撃はその前提を突く「一歩先の手口」が主流です。とくにPHALT#BLYXのようなClickFix戦術では、ユーザー操作 × 正規ツール × 誘導UIを組み合わせることで、一般的なウイルス対策を回避してきます。
だからこそ本当に重要なのは、「攻撃が発生したあと、どう対応するか」までを見据えた備えです。そこで鍵となるのが、フォレンジック調査という視点です。
マルウェア感染・情報漏えい・不正アクセスの対応経験が豊富な専門家に相談することで、最新の脅威動向に即した対策と、自社の現状に合ったセキュリティ設計を進めることができます。
サイバーセキュリティの専門業者に相談する
偽のブルースクリーンを利用したClickFix型攻撃は、一見すると単なるシステムトラブルや操作ミスのように見えるため、誤った対応を取るとインシデントの証拠となる重要なデータが失われてしまう恐れがあります。
特に、画面の指示に従ってPowerShellコマンドを実行してしまった場合、プロセスの実行履歴や通信ログ、メモリ上の痕跡が上書き・消失し、感染経路や被害範囲の正確な特定が困難になるケースも少なくありません。
このような攻撃では、「感染しているかどうか」だけでなく、「何が・いつ・どこまで実行されたのか」を正確に把握することが極めて重要です。
そのためには、端末内部のログ、プロセス、メモリ、通信履歴を適切に保全・解析できる、サイバーセキュリティおよびデジタルフォレンジックの専門業者への相談が有効な選択肢となります。
デジタルデータフォレンジックでは、インシデント対応の専門家が初動対応から徹底サポートします。専用の解析設備を使い、ネットワークや端末を詳細に調査・解析し、調査報告書の提出や報告会までワンストップで対応します。
官公庁・上場企業・捜査機関など幅広い組織への対応実績があり、専門の担当者とエンジニアが迅速かつ正確に調査を実施します。
ご相談・初期診断・お見積りまではすべて無料です。お電話またはメールでお気軽にお問い合わせください。状況をヒアリングし、最適な対応方法をご案内いたします。
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
