急増する「ClickFix攻撃」とは

ウイルスアラート | 全てのニュース

2025年10月29日

ClickFix攻撃によるセキュリティインシデントが急激に増加し、世界中で多くのユーザーを不安に陥れています。攻撃者はソーシャルエンジニアリング手法を用いてユーザーを操り、デバイス上で悪意のあるコードを実行させます。

攻撃は、ユーザーが侵害されたサイトや偽サイトにアクセスし、ブラウザのエラーによりWebページを正しく表示できない、あるいは更新が必要であるなどと通知する警告メッセージを目にするところから始まります。

通常、こうしたメッセージには「修正」、「チェック」、「更新」などのボタンが含まれており、ボタンが画面に表示されるやいなや悪意のあるコードが自動的にクリップボードにコピーされます。ユーザーがボタンをクリックする必要すらありません。続けて、ユーザーはこのコードをコマンドプロンプトまたは「実行」ダイアログボックスに貼り付けるよう指示されます。ユーザーが指示に従うと直ちに悪意のあるプログラムがインストールされて起動されます。この操作はユーザー自らが実行するため、多くの場合アンチウイルスによって防ぐことができません。

以下にClickFix攻撃の流れを簡潔に再現します。

ユーザーがコンテンツを読み込んで表示すると、ブラウザに突然警告メッセージが表示されます。メッセージには、最近のブラウザ更新による問題が原因でコンテンツを正しく表示することができないと記載されています。

#drweb

そして、問題を解決するために次の操作を実行するようユーザーに指示しています。

  • 「Fix it!(修正)」ボタンをクリックする
  • Windowsのスタートボタンを右クリックする
  • プログラム一覧でWindows PowerShellを見つけ、管理者権限で開く
  • 右クリックでクリップボードの内容をターミナルウィンドウに貼り付け、コマンドを実行する

ユーザーがボタンをクリックすると、悪意のあるスクリプトがクリップボードにコピーされてターミナルウィンドウで実行されます。

#drweb

このスクリプトは、攻撃者が侵害したシステムを遠隔操作するために使用するC2インフラストラクチャへのリモート接続を確立します。

この事例では、リモートC2ホストとの接続が確立され、ペイロードがユーザーのデバイス上にダウンロードされます。その後、hostsファイルを改変するよう設計された悪意のある実行ファイルが起動され、実行中のスクリプトが終了します。

Dr.Webには予防的保護テクノロジーが搭載されており、スクリプトが実行ファイルの起動を試みると同時に脅威を検出することが可能です。

ClickFix攻撃で多く使用されるまた別の手口が偽のCAPTCHAです。一見本物のように見えるCAPTCHA認証画面が表示され、その裏で密かに悪意のあるコードがクリップボードにコピーされます。自分は人間であるということを証明しているだけだと信じ込んでいるユーザーが気づかぬうちに悪意のあるコンテンツを操作してしまうため、攻撃の成功率が高まります。

#drweb

CAPTCHA画面の次に、追加の検証手順を行うよう指示する画面が表示されます。

#drweb

この手順を完了することでユーザーは知らないうちに悪意のあるスクリプトを実行し、攻撃者にデバイスへのリモートアクセスを提供してしまうことになります。

ClickFix攻撃の検出が難しい理由

ユーザーが偽サイトのボタンをクリックした時点では、アンチウイルスによって悪意のあるパターンは検出されません。この段階では操作はすべて正当なものに見えるからです。ユーザーが自らコマンドをコピー&ペーストして実行する――システムに対する通常の操作を行っているように見えます。

検出はその後に起こります。すなわち、悪意のあるファイルが起動された、またはスクリプトがシステム内の他のプロセスに悪意のあるコードを挿入しようとした時点です。アンチウイルスはこの時点で脅威を検知し駆除します。言い換えると、マルウェアが他のプロセスに干渉したり怪しい挙動を示したりしてすでにタスクを実行している、いわゆるポストエクスプロイト(post-exploit:エクスプロイト成功後)の段階になって初めて保護テクノロジーがアクションを起こすのです。

通常、この段階で攻撃者はすでに被害者のシステムに接続し、ペイロードを送り込んでいます。そしてペイロードは正規のプロセスに偽装することが可能です。
この段階で攻撃者は以下を実行することができます。

  • 権限を昇格する
  • データを収集する
  • ネットワーク内をナビゲートする
  • アンチウイルスソフトウェアを無効化しようとする

そのうえ、悪意のあるコードは暗号化または難読化されている場合もあり、これが従来のセキュリティルーチンによる検出を、輪をかけて困難なものにしています。

できるだけ早い段階で対処することの重要性

ClickFixによるインシデントでは、攻撃者によるシステムへのリモート接続を阻止することが、実際の脅威に対応することと同じくらい重要です。そのために導入できる追加のセキュリティ対策は以下を参照してください。

  • ブラウザ上にコマンド(PowerShellスクリプトなど)を含んだ不審なメッセージが表示された場合はクリップボードの内容を確認する
  • ネットワークトラフィック、ならびにリモート接続を確立しようとする疑わしい試みを分析する
  • 実際の攻撃シナリオを検証することで、ソーシャルエンジニアリングの手口を見破る方法についてユーザーに学んでもらう
0
新着ニュース 全てのニュース