目次
ClickFixとは何か?その基本的な仕組みを理解する
ClickFixは、ユーザー自身に悪意のあるコマンドを実行させることを目的としたソーシャルエンジニアリング(心理的操作)攻撃手法です。Microsoft社のセキュリティブログによると、この手法は「ユーザーが軽微な技術的問題を自分で解決しようとする傾向」や「人間認証(CAPTCHA)チェックへの慣れ」を巧みに悪用しています。
攻撃の流れは極めてシンプルかつ巧妙です。
まず、攻撃者はフィッシングメール、悪意のある広告(マルバタイジング)、または改ざんされたウェブサイトを通じて、ターゲットを偽のランディングページへ誘導します。このページでは、CloudflareのTurnstileやGoogleのreCAPTCHAを模倣した「人間認証」画面が表示されます。
ユーザーが「認証」ボタンをクリックすると、悪意のあるコマンドがクリップボードにコピーされると同時に、Windowsの「ファイル名を指定して実行」ダイアログ(Win + R)を開いてコマンドを貼り付け、実行するよう指示する画面が表示されます。
多くのユーザーはこの指示に従ってしまい、結果としてマルウェアがダウンロード・実行されることになります。
この手法の特徴は、ユーザー自身の操作によってマルウェアが実行されるため、従来の自動化されたセキュリティソリューションでは検知が困難な点にあります。
驚異的な増加率:ClickFixの最新動向
ESETが2025年6月に発表した脅威レポートは、ClickFixの急激な拡大を明確に示しています。同レポートによると、ClickFixは2024年下半期と比較して500%以上の増加を記録し、フィッシングに次いで2番目に多い攻撃手法となりました。2025年上半期に阻止された攻撃全体の約8%をClickFix関連が占めるという衝撃的なデータが報告されています。
ESETの脅威防止研究所ディレクターであるJiří Kropáč氏は、ClickFix攻撃がもたらす脅威の多様性について警鐘を鳴らしています。情報窃取マルウェア、ランサムウェア、リモートアクセスツール(RAT)、クリプトマイナー、さらには国家支援型攻撃者によるカスタムマルウェアまで、ClickFixを通じて配布される脅威は日々拡大しているとのことです。
Microsoft社の観測によると、ClickFix攻撃は毎日数千台の企業および個人デバイスを標的としており、その被害は世界規模に及んでいます。
国家支援型攻撃者もClickFixを採用:地政学的脅威の拡大
特に注目すべき動向として、Proofpoint社が2025年4月に発表した調査結果があります。同社の研究チームは、わずか90日間で北朝鮮、イラン、ロシアの国家支援型攻撃グループがClickFix手法を採用していることを確認しました。
北朝鮮のTA427(別名:Kimsuky、Emerald Sleet)は、シンクタンク組織を標的に、日本の外交官を装ったフィッシングキャンペーンを展開しました。この攻撃では、ターゲットを偽の「セキュアドライブ」ページに誘導し、PowerShellコマンドを実行させることで、最終的にQuasarRATというマルウェアの感染に至らせていました。
イランのTA450(別名:MuddyWater)は、給与やボーナス支給を装ったフィッシングメールを、イスラエルを含む多国籍企業に送信しました。この攻撃では、悪意あるPDF添付ファイルを通じてRMMツール「Atera」をインストールさせ、標的ネットワークの遠隔操作を図っていました。
ロシアに関連する脅威アクターUAC-0050は、ウクライナの受信者を標的としたClickFix攻撃を実施しています。これらの攻撃では、Microsoft Wordを模倣したページにウクライナ語の指示を表示し、PowerShellコードを実行させることで、Lumma Stealerなどのマルウェアに感染させていました。
進化するClickFix:最新の攻撃手法
2025年後半に入り、ClickFixはさらに高度化しています。Malwarebytes社が2025年11月に報告した最新の攻撃波では、攻撃者がWindowsアップデート画面を完璧に模倣した偽ページを使用していることが確認されています。
この新手法では、フルスクリーンモードで表示されるWindowsアップデートの偽画面が、あたかも本物のシステムアップデートのように見せかけます。
画面には「アップデートの処理中です。コンピュータの電源を切らないでください。パート3/3:セキュリティチェック 95%完了」といったメッセージが表示され、「重要なセキュリティアップデートをインストールするために」特定の操作を実行するよう指示されます。
さらに、ステガノグラフィ技術を利用した新たな手法も確認されています。攻撃者は、一見無害なPNG画像ファイルの中にマルウェアのペイロードを隠蔽しています。具体的には、画像ファイルの赤色チャンネル(ピクセルの色情報)にシェルコードをエンコードして埋め込むことで、セキュリティソフトウェアによる検知を回避しています。
ConsentFix:ブラウザ内で完結する新型攻撃
Push Security社が2025年12月に発表した「ConsentFix」は、ClickFixの進化形とも言える攻撃手法です。この攻撃は、OAuthコンセントフィッシングとClickFixスタイルのユーザープロンプトを組み合わせることで、アカウント侵害を実現します。
ConsentFixの最も危険な点は、ユーザーが対象アプリに既にログインしている場合、パスワードの入力もMFA(多要素認証)チェックも不要でアカウントを乗っ取れることです。つまり、パスキーなどのフィッシング耐性認証を効果的に回避できてしまいます。
この攻撃は主にMicrosoftアカウントを標的とし、Azure CLIというOAuthアプリを悪用しています。被害者は、正規のMicrosoftログインページにリダイレクトされ、認証後に生成されるlocalhostのURLをコピーして、攻撃者が制御するページに貼り付けるよう誘導されます。これにより、被害者のMicrosoftアカウントと攻撃者のAzure CLIインスタンス間にOAuth接続が確立されてしまいます。
macOSユーザーも標的に:クロスプラットフォーム化する脅威
ClickFix攻撃は当初Windowsデバイスを主な標的としていましたが、2LinuxやmacOSを含む全主要OSに影響を広げています。ESET社の2025年6月の報告によると、この攻撃手法は前期比で500%以上も急増しました。攻撃者は偽のエラー画面を用いてユーザーを巧みに誘導し、OSを問わず悪意あるコマンドを実行させることで感染を広げています。
この手法により、Lumma StealerやSnakeStealerなどの情報窃取マルウェアへの感染、さらにはランサムウェアの展開やネットワークへの初期侵入が引き起こされています。
企業と個人が取るべき対策
ClickFix攻撃から身を守るためには、多層的なアプローチが必要です。以下に、具体的な対策方法を紹介します。
組織レベルでの対策
ユーザー教育の強化:従業員に対して、コピー&ペーストで実行するコマンドには特に注意するよう教育してください。正規のウェブサイトやサービスが、「ファイル名を指定して実行」ダイアログでコマンドを実行するよう求めることは通常ありません。
グループポリシーを活用した環境の強化:業務上不要な場合は、「ファイル名を指定して実行」ダイアログ(Win + R)を無効化することを検討してください。また、App Controlポリシーを作成し、「ファイル名を指定して実行」からPowerShellなどのネイティブWindowsバイナリの起動を禁止することも推奨されます。
他にも、Microsoft Defender XDRを利用している組織では、攻撃面削減ルールとして「潜在的に難読化されたスクリプトの実行をブロック」「普及率、年齢、または信頼されたリスト基準を満たさない限り、実行可能ファイルの実行をブロック」「JavaScriptまたはVBScriptがダウンロードした実行可能コンテンツを起動するのをブロック」などを有効にすることが推奨されています。
個人レベルでの対策
ウェブページやポップアップの指示に従ってコマンドを実行することは避ける:特に、緊急性を強調するカウントダウンタイマーや警告メッセージが表示される場合は、攻撃者が判断力を低下させようとしている可能性があります。
ブラウザのクリップボード機能への警戒:Malwarebytes Browser Guardなどの拡張機能は、ウェブサイトがクリップボードにコンテンツをコピーしようとした際に警告を表示する機能を提供しています。
最新のエンドポイント保護ソリューションを常に有効・定期的な更新:ClickFix攻撃の最終段階であるマルウェアの実行を阻止できる可能性が高まります。
今後の展望:進化し続ける脅威への備え
ClickFixは、その効果の高さから今後もさらに進化・拡大していくことが予想されます。Push Security社が指摘するように、従来のClickFix攻撃はエンドポイントに到達した時点で検知される可能性がありましたが、ConsentFixのようなブラウザ内で完結する攻撃は、検知の機会が大幅に減少します。
また、国家支援型攻撃者がこの手法を採用していることは、ClickFixが標的型攻撃においても有効であることを示しています。Proofpoint社は、現時点で中国系の国家支援型グループによるClickFix使用は確認されていないものの、短期間で複数の国の攻撃者がこの手法を採用していることから、中国系グループも実験している可能性が高いと分析しています。
サイバーセキュリティの観点から、ClickFixは「人間がセキュリティチェーンの最も脆弱なリンクである」という従来の認識を改めて浮き彫りにしています。技術的な対策と同時に、継続的なセキュリティ意識向上トレーニングが、この脅威に対する最も効果的な防御策となるでしょう。
まとめ
ClickFixは、ユーザーの心理を巧みに利用し、自らマルウェアを実行させる高度なソーシャルエンジニアリング攻撃です。2024年以降、その発生件数は500%以上増加し、国家支援型攻撃者を含む様々な脅威アクターに採用されています。
攻撃手法も日々進化しており、偽のWindowsアップデート画面、ステガノグラフィを利用した検知回避、そしてブラウザ内で完結するConsentFixなど、新たなバリエーションが次々と登場しています。
組織と個人の双方が、この脅威に対する認識を高め、適切な技術的対策と教育を組み合わせることで、ClickFix攻撃のリスクを最小限に抑えることが可能です。サイバーセキュリティの世界では、知識こそが最大の武器となります。
参考・出典
本記事は、以下の資料を基に作成しました。
- Microsoft:Think before you ClickFix: Analyzing the ClickFix social engineering technique(2025年8月21日)(アクセス日:2026年02月02日)
https://www.microsoft.com/en-us/security/blog/2025/08/21/think-before-you-clickfix-analyzing-the-clickfix-social-engineering-technique/ - GlobeNewswire:ESET Threat Report: ClickFix fake error surges, spreads ransomware and other malware(2025年6月26日)(アクセス日:2026年02月02日)
https://www.globenewswire.com/news-release/2025/06/26/3106011/0/en/ESET-Threat-Report-ClickFix-fake-error-surges-spreads-ransomware-and-other-malware.html - Proofpoint:Around the World in 90 Days: State-Sponsored Actors Try ClickFix(2025年4月17日)(アクセス日:2026年02月02日)
https://www.proofpoint.com/us/blog/threat-insight/around-world-90-days-state-sponsored-actors-try-clickfix - Proofpoint:Human Factor Report: URL Phishing(2025年8月14日)(アクセス日:2026年02月02日)
https://www.proofpoint.com/us/resources/threat-reports/human-factor-url-phishing - Malwarebytes:New ClickFix wave infects users with hidden malware in images and fake Windows updates(2025年11月25日)(アクセス日:2026年02月02日)
https://www.malwarebytes.com/blog/news/2025/11/new-clickfix-wave-infects-users-with-hidden-malware-in-images-and-fake-windows-updates - Push Security:ConsentFix(2025年12月11日)(アクセス日:2026年02月02日)
https://pushsecurity.com/blog/consentfix
AI利用について
本記事はAIツールの支援を受けて作成されております。 内容は人間によって確認および編集しておりますが、詳細につきましてはこちらをご確認ください。
