C
月内に
Windowsの旧来のツールであるMSHTA(Microsoft HTML Application Host)を悪用したファイルレス攻撃が増加しています
📌 一言でいうと
Windowsの旧来のツールであるMSHTA(Microsoft HTML Application Host)を悪用したファイルレス攻撃が増加しています。攻撃者は偽のソフトウェアや「ClickFix」手法(偽のreCAPTCHA検証)を用いて、ユーザーに悪意のあるHTAファイルを読み込ませます。これにより、LummaStealerやPurpleFoxなどの情報窃取ツールやバックドアが展開されるリスクがあります。
🔍該当判定
- Windows PCを利用しており、社員がインターネットからソフトの「破解版(クラック版)」や非公式ツールをダウンロードしてインストールしている
- Discordなどのチャットツールを利用しており、外部サイトの「reCAPTCHA(私はロボットではありません)」等の認証画面で指示に従い操作する可能性がある
- Windowsの「ファイル名を変更した実行ファイル」や「.hta」という拡張子のファイルを受信し、それを開く運用がある
- 社内でVBScriptやJavaScriptを用いた古い形式のデスクトップアプリ(HTAファイル)を業務で利用している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
不審なファイルやリンクをクリックしないこと。特に、Win+Rキーを使用してコマンドを実行させる誘導や、偽の認証画面(reCAPTCHA等)に注意してください。また、管理者はMSHTAの実行制限を検討してください。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】不審なWebサイトやファイル実行に関する注意について
お疲れさまです。情報システム担当です。
Windowsの標準機能を悪用し、ウイルスに感染させる攻撃が増えています。特に「認証のためにこの操作をしてください」と指示され、特定のキー操作(Win+Rなど)を求められるケースに注意してください。
ご協力をお願いしたいこと:
1. 心当たりのないメールの添付ファイルや、不審なサイトのリンクを開かない
2. Webサイト上の指示に従って、コマンドプロンプトや「ファイル名を指定して実行」に文字列を貼り付けて実行しない
3. 不審な挙動を確認した場合は、すぐに情報システム担当まで報告する
対応期限: 本日中
お疲れさまです。情報システム担当です。
Windowsの標準機能を悪用し、ウイルスに感染させる攻撃が増えています。特に「認証のためにこの操作をしてください」と指示され、特定のキー操作(Win+Rなど)を求められるケースに注意してください。
ご協力をお願いしたいこと:
1. 心当たりのないメールの添付ファイルや、不審なサイトのリンクを開かない
2. Webサイト上の指示に従って、コマンドプロンプトや「ファイル名を指定して実行」に文字列を貼り付けて実行しない
3. 不審な挙動を確認した場合は、すぐに情報システム担当まで報告する
対応期限: 本日中
Subject: [Security Alert] Caution Regarding Suspicious Websites and File Execution
Dear Employees,
We have observed an increase in attacks that abuse standard Windows features to infect systems with malware. Please be especially cautious of websites that instruct you to perform specific keyboard actions (such as Win+R) to complete a "verification" process.
Requested Actions:
1. Do not open attachments or click links from unknown or suspicious sources.
2. Never copy and paste commands into the "Run" dialog or Command Prompt based on instructions from a website.
3. Report any suspicious system behavior to the IT department immediately.
Deadline: Immediate
Dear Employees,
We have observed an increase in attacks that abuse standard Windows features to infect systems with malware. Please be especially cautious of websites that instruct you to perform specific keyboard actions (such as Win+R) to complete a "verification" process.
Requested Actions:
1. Do not open attachments or click links from unknown or suspicious sources.
2. Never copy and paste commands into the "Run" dialog or Command Prompt based on instructions from a website.
3. Report any suspicious system behavior to the IT department immediately.
Deadline: Immediate
件名: 【共有】MSHTAを悪用したファイルレス攻撃への対応について
お疲れさまです。MSHTA (Microsoft HTML Application Host) を悪用した攻撃手法に関する情報共有です。
■ 概要
MSHTAは合法的なMicrosoft署名バイナリであるため、セキュリティ製品を回避して悪意のあるVBScript/JavaScriptを実行させる「Living off the Land (LotL)」攻撃に利用されています。具体的には、偽のreCAPTCHA画面でユーザーにWin+Rから悪意のあるコマンドを実行させる手法などが確認されています。
■ 影響範囲
- Windows OS (MSHTAが有効な環境)
■ 対応手順
1. EDR/AVにて MSHTA.exe による不審なネットワーク接続や子プロセスの生成を監視する
2. 可能な限り、AppLockerやWindows Defender Application Control (WDAC) を使用して MSHTA.exe の実行を制限する
3. ユーザーに対し、不審なサイトでのコマンド実行(Win+R等)を禁止する教育を徹底する
■ 参考情報
- Bitdefender Research Report
対応優先度: 高
対応期限: 今週中
お疲れさまです。MSHTA (Microsoft HTML Application Host) を悪用した攻撃手法に関する情報共有です。
■ 概要
MSHTAは合法的なMicrosoft署名バイナリであるため、セキュリティ製品を回避して悪意のあるVBScript/JavaScriptを実行させる「Living off the Land (LotL)」攻撃に利用されています。具体的には、偽のreCAPTCHA画面でユーザーにWin+Rから悪意のあるコマンドを実行させる手法などが確認されています。
■ 影響範囲
- Windows OS (MSHTAが有効な環境)
■ 対応手順
1. EDR/AVにて MSHTA.exe による不審なネットワーク接続や子プロセスの生成を監視する
2. 可能な限り、AppLockerやWindows Defender Application Control (WDAC) を使用して MSHTA.exe の実行を制限する
3. ユーザーに対し、不審なサイトでのコマンド実行(Win+R等)を禁止する教育を徹底する
■ 参考情報
- Bitdefender Research Report
対応優先度: 高
対応期限: 今週中
Subject: [Technical Info] Mitigation of Fileless Attacks Abusing MSHTA
Dear Security Team,
This is a technical update regarding attacks abusing MSHTA (Microsoft HTML Application Host).
■ Overview
Attackers are leveraging MSHTA, a legitimate Microsoft-signed binary, to execute malicious VBScript/JavaScript while bypassing security controls (LotL). Recent campaigns use "ClickFix" techniques, tricking users into executing malicious commands via the Win+R dialog through fake reCAPTCHA pages.
■ Scope
- Windows OS environments where MSHTA is enabled.
■ Mitigation Steps
1. Configure EDR/AV to monitor MSHTA.exe for suspicious network connections or abnormal child process spawning.
2. Implement execution restrictions for MSHTA.exe using AppLocker or Windows Defender Application Control (WDAC).
3. Conduct user awareness training to prevent the execution of arbitrary commands via the "Run" dialog.
■ Reference
- Bitdefender Research Report
Priority: High
Deadline: End of this week
Dear Security Team,
This is a technical update regarding attacks abusing MSHTA (Microsoft HTML Application Host).
■ Overview
Attackers are leveraging MSHTA, a legitimate Microsoft-signed binary, to execute malicious VBScript/JavaScript while bypassing security controls (LotL). Recent campaigns use "ClickFix" techniques, tricking users into executing malicious commands via the Win+R dialog through fake reCAPTCHA pages.
■ Scope
- Windows OS environments where MSHTA is enabled.
■ Mitigation Steps
1. Configure EDR/AV to monitor MSHTA.exe for suspicious network connections or abnormal child process spawning.
2. Implement execution restrictions for MSHTA.exe using AppLocker or Windows Defender Application Control (WDAC).
3. Conduct user awareness training to prevent the execution of arbitrary commands via the "Run" dialog.
■ Reference
- Bitdefender Research Report
Priority: High
Deadline: End of this week