認証済みX Mac 拡散、一方ConsentFixはMicrosoftアカウント情報を盗み出す

| 2026年7月3日
Clickfixの指示に従ってください

サイバー犯罪者たちは、人々を騙して自身のデバイスやアカウントを乗っ取らせる新たな手口を次々と編み出しています。あるキャンペーンでは、X スポンサー広告Mac X 、また「ConsentFix」と呼ばれる別の手法では、マルウェアをインストールすることなくMicrosoft 365のアカウントを盗み出しています。

Mac ClickFix攻撃に利用された認証済みX

研究者らは、Xスポンサー広告として配信されていた「ClickFix」型の攻撃を発見した。この広告は認証済みアカウントから投稿されており、詐欺の信憑性をさらに高めていた。

ClickFixのキャンペーンでは、説得力のある餌が使用されています。これまでは偽の「人間確認」画面が用いられていましたが、現在は「DynamicLake」という偽のダウンロードファイルが使われています。DynamicLakeは、MacBookのノッチをAppleのDynamic Islandの非公式ながら機能するバージョンに変える、正規のmacOSユーティリティです。この種の攻撃では、ユーザーがクリップボードからコマンドを貼り付ける必要があるため、ユーザーの操作に大きく依存しています。

DynamicLakeの偽広告

画像提供:Jamf

実際には、そのリンクをクリックした人は、そっくりなドメインにリダイレクトされてしまいました dynamicmacisland[.]com, そこで彼らはターミナルを開き、マルウェアをバックグラウンドでインストールするコマンドを貼り付けるよう指示された。

このキャンペーンには、ターミナルコマンドを利用した「ClickFix」型のソーシャルエンジニアリング、信頼できるMac 装った類似ドメイン、そして攻撃対象を大規模なユーザー層に拡大するために利用される有料広告インフラという、3つの懸念すべき傾向が組み合わさっています。

報道によると、このマルウェアは「Atomic Stealer」という情報窃取型マルウェアの複数の亜種を拡散させるという。  

この手口は、ユーザーが信頼できる開発者ツールを検索した際にマルウェアを配信する悪意のあるスポンサー広告など、Google Adsが偽のソフトウェアインストーラーを宣伝した過去の事例と類似しています。ここから得られる教訓は明らかです。有料掲載や認証バッジは安全性を保証するものではなく、特に攻撃者が自動スクリーニングを回避するために意図的にキャンペーンを設計している場合にはなおさらです。

このキャンペーンXプラットフォームが悪用され、認証済みアカウントの下に悪意のある広告が表示されていました。研究者らはX この広告を報告しX アカウント所有者に連絡を取りました。その後、この広告は削除されたようです。

ConsentFixは、マルウェアをインストールするのではなく、アカウント情報を盗み出します

また、Windows 、「ConsentFix」と呼ばれる次世代のClickFix攻撃について警告が発せられています。

ConsentFixが他と異なる点は、ClickFixがユーザーをインストーラーの役割に追いやるのに対し、ConsentFixはユーザーをIDプロバイダーの役割に追いやる点です。マルウェアを実行させるようユーザーを騙すのではなく、ソーシャルエンジニアリングを用いて、マルウェアの実行やパスワードの入力を一切求めずに、ブラウザを通じてクラウドサービスのログイントークンをユーザー自身に提供させてしまうのです。

「それは、リンクをブラウザにドラッグするといった、ごくありふれた行動から始まることもあります。3秒後には、攻撃者はMicrosoft 365アカウントを乗っ取るために必要なトークンを入手してしまいますが、その間、従来のセキュリティ意識向上トレーニングで警告されるような行動は一切取っていないのです。」

例えば、フィッシングメールにリンクが記載されていることがありますが、そのリンクはDropboxなどの信頼できるプラットフォーム上でホストされていることがよくあります。場合によってはパスワードで保護されており、そのせいでセキュリティツールによる検査が難しくなることもあります。

ターゲットがリンクをクリックすると、一見すると標準的な Microsoft のサインインページのように見える画面が表示され、localhost のコールバックリンクをブラウザにドラッグして、手続きを完了するよう求められます。

ConsentFixのトラップはどのように見えるか
ConsentFixのトラップはどのように見えるか

その瞬間、罠が仕掛けられる。被害者は気づかないうちに、セッショントークンを攻撃者に渡してしまい、その結果、攻撃者はパスワードを入力したり多要素認証(MFA)を完了したりすることなく、メールやその他のMicrosoft 365サービスにアクセスできるようになってしまう。

この手法はロシアのサイバー犯罪フォーラムで公開されたと報じられており、経験の浅いサイバー犯罪者でもMicrosoft 365アカウントを容易に盗み出せるようになっている。

安全に過ごすには

こうした攻撃が存在することを知り、その手口を見抜くことが、最善の防御策です。ですから、引き続き当ブログをご愛読ください。しかし、他にもできることがあります:

  • 予期せず届いたリンクは、それがメール、テキストメッセージ、ソーシャルメディア、あるいは認証済みアカウントやスポンサー付き検索結果を通じてのものであっても、決して信用しないでください。
  • 通常とは異なる、あるいは完全に理解できない指示に従う前に、よく考えてみてください。
  • 認証情報を入力する際は、必ずブラウザのアドレスバーに表示されているアドレスを確認してください。それが想定していたアドレスですか?もし違ったら、そこで作業を中止してください。
  • Web保護機能を備えた、最新のリアルタイム型マルウェア対策ソリューションをご利用ください。

プロのヒント:無料のMalwarebytes Browser Guard ブラウザ拡張機能が、悪意のあるウェブサイトやClickFix攻撃からあなたを守ってくれることをご存知でしたか?さらに、広告やトラッカーもブロックしてくれるので、これは嬉しいおまけです。


被害が及ぶ前に脅威を阻止しましょう。

Malwarebytes Browser Guard 、フィッシングページや悪意のあるサイトを自動的にBrowser Guard 。無料で、ワンクリックでインストールできます。ブラウザに追加する →

著者について

ピーテル・アルンツ

マルウェアインテリジェンス研究者

コンシューマー・セキュリティ部門で12年連続マイクロソフトMVP。4ヶ国語を操る。リッチなマホガニーと革張りの本の匂い。