増加する「ClickFix」攻撃とは？　ショートカットキーなどを押させる指示に注意

1. ClickFix とは何か――“自分の手で感染させる”設計の社会工学

ClickFix は、ユーザーが“問題を修正する（Fix）”“認証を完了する”と信じて自らコマンドを実行してしまうよう誘導する戦術です。典型的には、Web上の偽ダイアログが「Fix をクリック → Win＋R を押下 → ダイアログに Ctrl＋V で貼り付け → Enter」と4 ステップを指示します。実際には、クリップボードに不可視のスクリプトがコピーされており、貼り付け・実行によりマルウェア取得・実行が始動します。カスペルスキー

• 初期観測：2024 年春。以降、攻撃シナリオや誘導文言が多様化。カスペルスキー

• 偽ブラウザ更新／偽プラグイン／Word/PDF が見られない等の口実、偽CAPTCHAや会議ツール偽装まで拡張。カスペルスキーBleepingComputerThe Hacker News

2. どこで遭遇する？——配布インフラと“偽画面”のバリエーション

2.1 偽 CAPTCHA・偽会議ページ

偽の「私はロボットではありません」画面や、偽の Google Meet/Zoom ページが表示され、ショートカット操作を促されます。近年は 偽CAPTCHA クラスタや Meet 偽装が複数追跡され、Windows/macOS の双方が標的になりました。MalwarebytesBleepingComputer+1

2.2 偽のブラウザ・文書表示エラー

「ブラウザ更新が必要」「Word Online エクステンションがない」等を装い、“How to fix” ボタンでクリップボードにコードをコピーさせる型。McAfee

2.3 侵入経路

**改ざんサイト／マルバタイジング／SEO ポイズニング／フィッシングメール（HTML 添付）**など。とくに HTML 添付から偽指示へ誘導する例や、広告経由の誘導が報告されています。McAfeeAmpcus CyberFortinet

3. 何が実行される？——代表的なマルウェアと挙動

• Lumma Stealer：情報窃取型。ClickFix での拡散が継続的に観測。MalwarebytesMcAfee

• NetSupport RAT：遠隔操作ツール。偽 CAPTCHA からの配布や持続化設定が解説されています。Unit 42

• DarkGate：高機能 RAT/ローダー。ClickFix 連鎖で投下する事例を各社が分析。McAfee

（※他に Latrodectus／Rhadamanthys 等も利用。業界横断・地域特化のケースもある。）Unit 42Securonix

4. 技術が進化する ClickFix の“変種”

4.1 Win＋X 変種（RunMRU を回避）

Win＋X（クイックアクセスメニュー）から PowerShell/ターミナルを開かせる指示に置き換えることで、Run ダイアログの痕跡（RunMRU）露出を回避しようとする亜種が確認されています。Havoc デプロイにこの手口が使われた報告も。Unit 42+1

4.2 FileFix（Explorer のアドレスバー悪用）

2025 年には、ブラウザ外でも自然に見えるExplorer アドレスバーへの貼り付け・実行を誘導する「FileFix」が報じられました。ClickFix の派生として、可視部分に正当なパス風コメントを見せ、実体は PowerShell という“視覚トリック”を使います。BleepingComputer

4.3 クロスプラットフォーム化

Windows 中心ながら、macOS/Linux 両狙いの事例も登場。手口の“人間操作”依存ゆえ、OS を問わず適用可能です。BleepingComputer

5. 日本国内の状況

国内でも 複数企業環境での被害観測が明らかにされ、2025 年初〜春に報告増との分析が出ています。偽 CAPTCHA を含む ClickFix の浸透を背景に、**セキュリティ運用現場（SOC）**が注意喚起を継続しています。株式会社ラックNEC

6. なぜ効く？——EDR/ゲートウェイを“素通り”しやすい理由

• ユーザーの“正規操作”に見える：ユーザー自らが起動・貼り付け・実行するため、ポリシー回避や誤認が起きやすい。カスペルスキー

• ブラウザ→OS 跨ぎ：ブラウザ内の JavaScript がクリップボードへ書き込み、OS のランチャから実行されるため、境界防御の死角になりやすい。Malwarebytes

• 偽装の巧妙化：会議不具合・ドキュメント表示エラー・CAPTCHA 等、“日常タスク”のUIに溶け込む。BleepingComputer

7. 組織のための 12 の対策（技術＋人）

1. ブラウザ防御の強化：クリップボード書き込みや不審スクリプトを監視・ブロックする拡張／ポリシー。BleepingComputer
   
   

2. PowerShell 管理：Constrained Language Mode、Script Block Logging（4104）、未承認実行の制限。Ampcus Cyber
   
   

3. アプリケーション制御：WDAC/AppLocker等でmshta/rundll32/mshta/certutilなどの悪用抑止、未知バイナリの実行制御。Unit 42
   
   

4. キーバインドの運用制御：Win＋R の無効化や代替運用（業務影響に配慮）。ただしWin＋X 変種や手動起動にも備える。カスペルスキー
   
   

5. EDR/イベント監視：4688（プロセス生成）や4663（オブジェクトアクセス）、対話ログイン後の昇格 PowerShellなどを相関して検知。Unit 42
   
   

6. メール・Web フィルタリング：HTML 添付や偽更新サイト／偽CAPTCHA クラスタへのアクセス制御。ProofpointHHS.gov
   
   

7. ブラウザと OS の分離（仮想ブラウザ／コンテナ／リモートブラウザアイソレーション）で境界越えを遮断。BleepingComputer
   
   

8. 広告・SEO 経由の誘導対策：マルバタイジングや SEO ポイズニングのブロック・監視。Ampcus Cyber
   
   

9. マクロ以外の“人操作”訓練：「貼り付け実行」警戒をユーザー教育に組み込む（偽 CAPTCHA・偽会議・偽更新の演習）。カスペルスキー
   
   

10. 最小権限（PoLP）と UAC の実効化：一部ペイロードの横展開・持続化を抑制。McAfee
    
    

11. IOC/インフラ追跡：ClickFix 由来のNetSupport/Lumma/Latrodectus等 IOC の継続適用。Unit 42
    
    

12. インシデント備え：ブラウザ→OS 跨ぎの想定で初動手順（端末隔離、資格情報無効化、二次感染調査）を更新。HHS.gov

8. ユーザー個人がすぐできる自衛策（超重要）

• Web ページの指示でショートカットや貼り付けを求められたら中断。

• “更新が必要”“CAPTCHA 完了のため操作”等の文言は疑ってかかる。公式アプリから再アクセス。Malwarebytes

• ダウンロードやスクリプト実行を伴う手順をサポートに確認。

• **セキュリティ製品（DNS/URL/スクリプト防御付き）**の導入・最新化。Malwarebytes

9. もし操作してしまったら

1. ネットワークから切断し、端末を隔離。

2. 資格情報のローテーション（パスワード、トークン、ブラウザ保存情報）。

3. EDR/AV でフルスキャンし、PowerShell ログ／イベント 4688/4104 等で時系列を再構成。Unit 42

4. **C2 通信／永続化（タスクスケジューラ等）**の痕跡を確認し、再イメージも検討。Unit 42

5. 組織ならインシデント対応手順に沿って関係者へ共有・封じ込め。HHS.gov

10. 進化の行方——APT・ランサム連携と“ブラウザ主戦場化”

ClickFix は犯罪系から国家支援系まで広く採用され、ランサム攻撃にも接続しつつあります。偽 IT ツールを装うランサム組織の ClickFix 事例も登場。ブラウザでの検知／阻止がこれまで以上に重要です。BleepingComputer+1

Powered by Froala Editor