MENU

大規模に活動するDriveSurge

ほぼこもセキュリティニュース

DriveSurgeは、数千もの正規のウェブサイトを改ざんし、偽のブラウザ更新やエラー画面を利用してユーザをマルウェアに感染させる、大規模な脅威アクターの名称です。
ここのところさまざまなセキュリティ対策ベンダーの活動によって、その組織の様子、インフラ構造、具体的な攻撃プロセス、防御策といったものが明らかになってきています。

  1. 組織の概要と経済モデル
    DriveSurgeは、自身が直接ランサムウェアなどを感染させて身代金を要求するのではなく、他のサイバー犯罪組織に「侵入経路」を提供する初期侵入ブローカー(IAB: Initial Access Broker)として機能しています。
    • Pay-Per-Install (PPI) モデルの採用
      彼らは「1インストール(感染)あたりいくら」という報酬形態(PPI)で動いています。
      一般ユーザーのデバイスにマルウェア(バックドア等)を潜り込ませ、その「感染済みのデバイスへのアクセス権」をダークweb上で別の攻撃グループに転売して利益を得ています。
    • 長期間の潜伏
      彼らのインフラは非常に洗練されており、少なくとも2025年9月頃から目立った検知を逃れながら活動を続けていました。
      数千もの正規サイトが、サイト所有者も気づかないうちに彼らのマルウェア配布網に組み込まれています。
  2. 洗練された攻撃インフラ(zTDSの悪用)
    DriveSurgeがこれほど大規模な攻撃を隠蔽できている最大の理由は、「zTDS」と呼ばれるトラフィック制御システム(Traffic Distribution System)の高度な運用にあります。
    • 正規サイトの改ざん
      CMS(WordPressなど)やプラグインの脆弱性を突き、世の中にある数千の「信頼性の高い正規サイト(企業のHPや地域組織のサイト)」に悪質なJavaScriptコードを埋め込みます。
    • 訪問者のプロファイリング(選別)
      ユーザがその改ざんされたサイトにアクセスすると、裏でコードが作動し、トラフィックを「zTDS」サーバへ送ります。
    • 検知の回避
      zTDSは、アクセスしてきたのが「セキュリティ会社の調査ボット(クローラー)」や「研究者」である場合は、通常の安全なウェブページを表示します。これにより、攻撃がセキュリティ企業に発見されるのを防ぎます。
    • ターゲットの確定
      アクセスしたのが「一般の無防備なユーザ(人間)」であると判定した場合にのみ、次に説明する2つの偽画面(ルアー)のいずれかを表示させます。
  3. 2つの主要な攻撃手法(詐欺の手口)
    zTDSによってターゲットに選ばれたユーザには、使用しているブラウザや環境に合わせて以下のいずれかの画面が表示されます。
    1. FakeUpdates
      ユーザーが使っているブラウザの見た目を完全にコピーした、非常に精巧なポップアップを表示します。
      「お使いのブラウザはバージョンが古いため、コンテンツを表示できません。アップデートしてください」と促します。
      指示に従うと、正規のアップデートファイルの代わりに、マルウェアが含まれたZIPファイルや実行ファイル(.exe など)がダウンロードされます。
    2. ClickFix
      ここのところ急増している、ユーザ自身の手でコマンドを実行させる極めて巧妙な手口です。
      ページを開くと「ドキュメントの読み込みエラー」や「証明書のエラー」といった偽の警告画面が表示されます。
      画面上に「エラーを修正するには、以下のボタンをクリックしてコードをコピーし、Windowsの『ファイル名を指定して実行』や『PowerShell(またはMacのターミナル)』に貼り付けて実行してください」と親切な手順が表示されます。
      この操作指示に従って操作してしまうと、セキュリティの警告をバイパスして、裏で直接マルウェアがシステムにインストールされてしまいます。
  4. 被害防止のための具体的な対策
    DriveSurgeはユーザの「見慣れたサイトへの信頼」や「ブラウザ公式の見た目」を悪用するため、視覚だけで見破るのは困難です。
    以下の対策を徹底する必要があります。
    • ブラウザの更新方法を固定する
      更新する際には必ず、ブラウザ右上の「設定」メニュー>「ヘルプ」>「Google Chromeについて」などの正規ルートからのみ実施しましょう。
    • サイト上のコマンドをコピー&ペーストして実行しない
      「エラー修復のため」などと説明されても、ウェブサイトに書かれたコマンド(PowerShellやターミナル用の文字列)を自分のパソコンに貼り付けてそのまま実行することは絶対に避けてください。
    • エンドポイントセキュリティの強化
      不審な外部ドメインへの通信を遮断するWebフィルタリングや、広く利用されていて信頼できるセキュリティソフトを導入し、ファイルレスで動く不審な挙動を検知できるようにしておきましょう。

DriveSurgeは、数千の正規サイトを改ざんし、偽のブラウザ更新やエラー修復を装ってユーザをマルウェアに感染させる大規模なサイバー犯罪グループです。
彼らは裏で訪問者が一般ユーザか調査員かを自動判別して検知を逃れ、感染させたデバイスのアクセス権を別の犯罪組織に転売して利益を得ています。
ウェブサイト閲覧中に表示される偽の警告や指示には従わず、ブラウザの更新は必ず公式の設定メニューから行い、不審なコマンドをパソコンに貼り付けて実行しないことを徹底しましょう。

Meet DriveSurge: A New Threat Actor Using ClickFix and Fake Update Drive-By Attacks in Thousands of Compromised Sites

https://www.silentpush.com/blog/drivesurge/

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。