B
今週中
オーストラリアサイバーセキュリティセンター(ACSC)が、ClickFixという社会工学的手法を用いたVidar Stealerの配布について警告しています
📌 一言でいうと
オーストラリアサイバーセキュリティセンター(ACSC)が、ClickFixという社会工学的手法を用いたVidar Stealerの配布について警告しています。攻撃者は改ざんされたWordPressサイトなどで偽のCAPTCHAやCloudflare検証画面を表示し、ユーザーに悪意のあるPowerShellコマンドをコピーして実行させるよう誘導します。これにより、機密情報を盗み出すVidar Stealerが感染します。
🔍該当判定
- 社内でWindows PCを利用しており、PowerShell(青い画面のコマンドツール)が利用可能な状態である
- 社員が業務でWordPressで構築された外部サイトやブログを頻繁に閲覧する
- Webサイト閲覧時に「Cloudflareの認証」や「CAPTCHA(私はロボットではありません)」のような画面が表示されることがある
- Webサイト上の指示に従い、画面に表示された文字列をコピーして自分のPCで実行させる操作を社員が行う可能性がある
上記いずれにも該当しない → 静観でOK
✅該当時の対応
不審なウェブサイトで表示される「コマンドのコピー&ペースト」による検証指示に従わないこと。PowerShellの実行制限を強化し、エンドポイント保護製品(EDR)を導入して不審なプロセスの起動を検知すること。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】偽の認証画面によるウイルス感染にご注意ください
お疲れさまです。情報システム担当です。
ウェブサイトを閲覧中に「認証のためにこのコマンドをコピーして実行してください」という偽の指示が表示され、ウイルスに感染させる攻撃が確認されています。
ご協力をお願いしたいこと:
1. ブラウザでCAPTCHAやCloudflareなどの検証画面が出た際、指示に従ってコマンドをコピーし、自分のPCで実行(貼り付け)しないでください。
2. 不審な挙動や、心当たりのない画面が表示された場合は、すぐにブラウザを閉じ、情報システム担当までご連絡ください。
対応期限: 本日中
お疲れさまです。情報システム担当です。
ウェブサイトを閲覧中に「認証のためにこのコマンドをコピーして実行してください」という偽の指示が表示され、ウイルスに感染させる攻撃が確認されています。
ご協力をお願いしたいこと:
1. ブラウザでCAPTCHAやCloudflareなどの検証画面が出た際、指示に従ってコマンドをコピーし、自分のPCで実行(貼り付け)しないでください。
2. 不審な挙動や、心当たりのない画面が表示された場合は、すぐにブラウザを閉じ、情報システム担当までご連絡ください。
対応期限: 本日中
Subject: [Security Alert] Beware of Fake Verification Prompts
Hi everyone,
We have received reports of a new attack where users are tricked into copying and running malicious commands from fake CAPTCHA or verification screens on websites.
What we need from you:
1. Never copy and paste commands into your system (such as PowerShell or Terminal) when prompted by a website verification screen.
2. If you encounter any suspicious prompts or unusual website behavior, close the browser immediately and report it to the IT security team.
Deadline: Immediate
Hi everyone,
We have received reports of a new attack where users are tricked into copying and running malicious commands from fake CAPTCHA or verification screens on websites.
What we need from you:
1. Never copy and paste commands into your system (such as PowerShell or Terminal) when prompted by a website verification screen.
2. If you encounter any suspicious prompts or unusual website behavior, close the browser immediately and report it to the IT security team.
Deadline: Immediate
件名: 【共有】ClickFix手法を用いたVidar Stealer感染への対応について
お疲れさまです。ClickFixという社会工学的手法を用いたマルウェア配布に関する情報共有です。
■ 概要
改ざんされたWordPressサイト等で偽のCloudflare検証画面を表示し、ユーザーにPowerShellコマンドを手動実行させることでVidar Stealerを感染させる攻撃が確認されています。ユーザーが自らコマンドを実行するため、従来のURLフィルタリングを回避する可能性があります。
■ 影響範囲
- 全社エンドポイント(特にWordPress等の外部サイトを閲覧するユーザー)
■ 対応手順
1. EDR等のログを確認し、不審なPowerShellプロセスの起動(特にベース64エンコードされたコマンド等)がないか監視を強化してください。
2. ユーザーに対し、ウェブサイト上の指示でコマンドを実行させる手法(ClickFix)への注意喚起を徹底してください。
3. 可能であれば、一般ユーザー権限でのPowerShell実行制限を検討してください。
■ 参考情報
- Australian Cyber Security Center (ACSC) Warning
対応優先度: 高
対応期限: 速やかに
お疲れさまです。ClickFixという社会工学的手法を用いたマルウェア配布に関する情報共有です。
■ 概要
改ざんされたWordPressサイト等で偽のCloudflare検証画面を表示し、ユーザーにPowerShellコマンドを手動実行させることでVidar Stealerを感染させる攻撃が確認されています。ユーザーが自らコマンドを実行するため、従来のURLフィルタリングを回避する可能性があります。
■ 影響範囲
- 全社エンドポイント(特にWordPress等の外部サイトを閲覧するユーザー)
■ 対応手順
1. EDR等のログを確認し、不審なPowerShellプロセスの起動(特にベース64エンコードされたコマンド等)がないか監視を強化してください。
2. ユーザーに対し、ウェブサイト上の指示でコマンドを実行させる手法(ClickFix)への注意喚起を徹底してください。
3. 可能であれば、一般ユーザー権限でのPowerShell実行制限を検討してください。
■ 参考情報
- Australian Cyber Security Center (ACSC) Warning
対応優先度: 高
対応期限: 速やかに
Subject: [Technical Alert] Vidar Stealer Distribution via ClickFix Technique
Hi team,
This is a technical update regarding the 'ClickFix' social engineering campaign distributing Vidar Stealer.
■ Overview
Attackers are leveraging compromised WordPress sites to display fake Cloudflare/CAPTCHA prompts. These prompts trick users into manually copying and executing malicious PowerShell commands to bypass security controls and install the Vidar Stealer info-stealer.
■ Scope
- All corporate endpoints accessing external websites.
■ Mitigation Steps
1. Enhance monitoring for suspicious PowerShell execution, specifically looking for encoded commands or unusual network connections initiated by powershell.exe.
2. Conduct a security awareness briefing for users regarding the dangers of executing commands provided by websites.
3. Review and tighten PowerShell execution policies for non-administrative users.
■ Reference
- Australian Cyber Security Center (ACSC) Advisory
Priority: High
Deadline: Immediate
Hi team,
This is a technical update regarding the 'ClickFix' social engineering campaign distributing Vidar Stealer.
■ Overview
Attackers are leveraging compromised WordPress sites to display fake Cloudflare/CAPTCHA prompts. These prompts trick users into manually copying and executing malicious PowerShell commands to bypass security controls and install the Vidar Stealer info-stealer.
■ Scope
- All corporate endpoints accessing external websites.
■ Mitigation Steps
1. Enhance monitoring for suspicious PowerShell execution, specifically looking for encoded commands or unusual network connections initiated by powershell.exe.
2. Conduct a security awareness briefing for users regarding the dangers of executing commands provided by websites.
3. Review and tighten PowerShell execution policies for non-administrative users.
■ Reference
- Australian Cyber Security Center (ACSC) Advisory
Priority: High
Deadline: Immediate