piyokango氏が語る、ClickFixの「先」にある被害と企業が今とるべき対策

偽の修正操作を促すClickFixの手口

ClickFixとはどんな攻撃手法なのでしょうか。典型的な手口とともに教えてください。

ClickFixという名前のとおり、ユーザーが偽の「修正操作」を行うように仕向ける、いわゆるソーシャルエンジニアリングによる攻撃です。ブラウザやWebサービスなどであたかもエラーが発生したかのような偽画面をユーザーに表示し、「解決するにはこのステップを実行する必要があります」などと操作を促すのがClickFixの攻撃手法です。

具体的には、Chromeなどのブラウザ、Microsoft Officeなどのオフィス製品、GitHubやCloudflare、Booking.comといったサービスのエラーメッセージに似せた偽画面や、CAPTCHA認証を装った画面が表示されるケースが報告されています。

その手口はバリエーションが豊かであり、応用範囲が広いのが特徴です。今後、すでに報告されている以外の方法や場面で、同様の攻撃が発生してもまったく不思議ではありません。

偽のエラーメッセージなどではどんな操作が求められるのでしょうか。

たとえばWindows環境であれば、問題を解決するためとして、ユーザーに以下の手順で操作するよう指示するメッセージが表示されるケースが多いようです。

こうしたメッセージが表示されるページにアクセスすると、まず、攻撃者が用意した、マルウェアをダウンロードしたり実行するためのスクリプトが、クリップボードに自動でコピーされます。そのうえで、①により「ファイル名を指定して実行」ダイアログボックス（以下、実行ダイアログ）を開き、②でクリップボードのスクリプトを貼り付け、③でスクリプトを実行するという操作を、ユーザー自らが行ってしまうことになるのです。

こうした攻撃はWindows環境だけで行われるわけではなく、MacやLinuxの環境でも類似の攻撃が報告されています。「Windows環境ではないから安心」というわけではありません。

偽のエラーメッセージに示された手順で操作してしまった場合、どのような被害に遭ってしまうのでしょうか。

ClickFix自体は人を騙すためのテクニックであり、その先に別の脅威が控えています。最も多い一次被害は、インフォスティーラー（Infostealer）への感染です。インフォスティーラーは、ログイン情報やパスワード、クレジットカード情報をはじめとした、端末に保存された情報を窃取するマルウェアです。

ただし、ClickFixに引っかかったからといって、インフォスティーラーに感染したと即座に決めつけて対応してしまうのは危険です。ClickFixによって、クリプトマイナー（※）や遠隔操作ウイルス（RAT：Remote Access Trojan）、そのほか、企業のインフラ環境に侵入するマルウェアなどに感染するケースもあります。また、「ボット」系のマルウェアに感染して、被害端末が攻撃者の攻撃用インフラに組み込まれ、攻撃活動の一端を担わされてしまうようなケースも存在します。

（※）Cryptominer：ユーザーのリソースを悪用して暗号資産をマイニングさせるマルウェア

ClickFixによる攻撃を受けた際には、セキュリティ担当者として、まずは、インフォスティーラーに感染している可能性を考えつつも、それ以外の被害の可能性も念頭に置いた対応が求められます。

ClickFixの動向と攻撃が活発化した理由

近年のClickFixによる攻撃の動向を教えてください。

ClickFixという言葉は、2024年4月にこの攻撃を発見したProofpointのリサーチャーが名付けたものとされています ¹。その後、2024年6月ごろから徐々に攻撃が活発化してきた印象です。ただし、こうしたソーシャルエンジニアリングの手法そのものは以前から似たようなものが存在していました。

攻撃件数を正確に把握するのは難しいのですが、GROUP-IBという会社の調査結果によると、攻撃に利用されたドメインの数は、2024年8月以降、右肩上がりに増加しています。

以前から似たような手法はあったということですが、ClickFixによる攻撃が話題になっているのは、どういった理由からなのでしょうか。

まず、ClickFixという名前が付けられたことで、被害が認知されやすくなったという側面があると思います。攻撃手法に名前が付くと、「同じ被害に遭った」などと報告しやすくなります。

また、ClickFixの手法は特定の攻撃グループだけではなく、様々な攻撃者が活用しており、実際に攻撃件数が増加していることも大きな理由でしょう。2024年ごろは主に、金銭目的の攻撃グループが悪用していましたが、2025年に入ると、国家が支援する攻撃者によると見られるAPT（Advanced Persistent Threat：持続的標的型攻撃）に使用するケースなども報告されており ²、ClickFixを用いた攻撃の多様化が進んでいます。

ClickFixを利用する攻撃者の属性も多様化しているのですね。

多くの攻撃者がClickFixの手法を用いるのは、「パフォーマンスがいい」からなのだと思います。ここでいうパフォーマンスには、まず手法としての有効性の高さがあります。

加えて、攻撃の難易度の低さというのも、攻撃者にとって「パフォーマンスがいい」点です。ClickFixは人の心理的な隙につけ込む攻撃であり、特定のソフトウェアやシステムの脆弱性を悪用するような技術的な攻撃ではありません。そのため、技術に明るくない攻撃者でも実行できてしまうのです。こうした特徴から、多くの攻撃者が様々な形でClickFixを利用しているのだと思います。

ClickFixによる被害は、すでに日本国内でも確認されているのでしょうか。

具体的に被害が公表されたインシデントは、私が確認している限りまだありません。しかし、セキュリティ監視・運用サービスを提供する株式会社ラックが公表した記事では、国内のものと思われるClickFixによるインシデント事例に言及しています ³。

よく見られるClickFixの偽画面は英語のものが多く、「英語なら違和感に気付けるだろう」と思われがちですが、アクセス環境にあわせて言語を変えることは簡単にできますし、すでに日本語での表示事例も存在します。攻撃者が有効だと認識すれば、積極的にそうした策を取ってくるでしょう。「日本は関係ない」とは考えていられない状況です。

企業視点でのClickFixの厄介さ

企業としては、ClickFixによるセキュリティリスクをどのように見積もるべきでしょうか。

技術的に複雑な攻撃ではないことから、企業が管理するエンドポイント（端末）で適切な保護や対策が講じられていれば、ClickFixによる攻撃が成功することは難しいだろうと思います。

他方で、従業員がプライベートの時間に、企業の管理下にない端末を使用している場面でもClickFixの手口に遭遇する可能性があることを考慮しなければなりません。もしも、BYOD（私物端末の業務利用）やリモートワーク、場合によってはシャドーITなどにより、私物のPCやスマートフォンから業務システムへのアクセスが許可されている環境があった場合、その私物端末が被害に遭ってしまうと、企業のシステム全体に影響が及ぶ可能性も考えられます。

このように、従業員自身が不注意で実行してしまう可能性があることから、企業としてはやはりClickFixを1つのセキュリティリスクとして捉えるべきでしょう。

従業員が私物端末でClickFixの被害に遭うケースとしてはどのようなものが考えられますか。

ClickFixの厄介な点は、その感染源の多様さにあります。マルバタイジング（※）やフィッシングメール、改ざんされたWebサイトをはじめ、様々な経路で被害に遭う可能性があります。

（※）正規のオンライン広告に紛れてマルウェアを配布したり、詐欺サイトに誘導したりするサイバー攻撃

なかには巧妙な手口として、採用面接を装って攻撃する事例も報告されています。北朝鮮当局の下部組織とされるLazarus（ラザルス）による攻撃例では、求職者に面接準備のためといってカメラの有効化を求めたうえで、「ドライバーエラーが発生した」として問題の解決方法を表示します。求職者がそれに従って操作すると、バックドアが設置されてしまうのです ⁴。

企業の管理下にない端末で従業員がClickFixの被害に遭うことは、十分に起こり得そうですね。

技術に詳しい方ほど「こんな攻撃に騙される人はいないだろう」と考えてしまうかもしれません。しかし、たとえばサポート詐欺も当初は企業リスクとして軽視されていたなか、実際には複数の企業で被害が報告されている ⁵のと同様に、ClickFixも対策を怠れば被害が深刻化し、対応が後手に回ってしまう可能性があります。

ClickFixの傾向を踏まえた企業の対策

従業員には「Windowsキー + Rキー」操作への注意を喚起

セキュリティ担当者はClickFixについて、従業員にどんな教育や周知を行うべきでしょうか。

ClickFixは手口が多様なため、従業員への教育を通じたアウェアネス向上にはどうしても限界がありそうです。ただし、Windows環境での典型的な手口であるWindowsキー + Rキーを使った実行ダイアログの悪用は、多くのClickFix攻撃で共通して見られます。どのように誘導されたとしても、Windowsキー + Rキーの操作を促されたら注意が必要だと伝えるのは、被害防止の一助になるかもしれません。

そもそも、Windowsキー + Rキーで実行ダイアログの画面が出てくることを知らない従業員の方も多いと思います。ITエンジニアなど、普段から様々なITツールを使う方であれば目にする機会があるかもしれませんが、非IT系の職種でこの画面を使って作業する方はあまり多くないでしょう。「この画面が出た時点で怪しい」と覚えてもらえれば、偽画面が表示されたときに立ち止まって考えるようになるかもしれません。また、たとえその場で実行してしまったとしても、後で「あの時に実行してしまった」と思い出してセキュリティ部門に連絡するきっかけになる可能性もあります。

ClickFixによる攻撃の実例を見せることも効果的でしょうか。

ある実際の偽画面を例として示し、「この表示は危険なものだ」と伝える方法も考えられるとは思いますが、先ほどお話しした採用面接を装った手口のように、従業員がClickFixだと気付きにくい手口もあります。特定のケースだけをもとに説明するのは得策ではないように思います。

技術的対策は企業の端末と私物端末をわけて考える

ClickFixに対して、技術面ではどんな対策やソリューションが有効でしょうか。

ClickFixに特化した対策というのではなく、一般的なエンドポイントのセキュリティ対策が行えていれば良いだろうと思います。EDR（Endpoint Detection and Response）をはじめ、エンドポイントを保護するためのソリューションが導入された環境であれば、不審な通信等の検知が可能ですし、万が一検知できなくても、ログなどからその後の調査が行えます。

また、そもそもWindowsキー + Rキーの組み合わせによるプログラム等の実行ができないよう、制限をかけることも対策として有効でしょう。

ただし、先ほどもお伝えしたように、企業の管理下にある端末だけでなく、私物端末での操作により被害が発生する可能性もあります。「この対策をやっておけば、ClickFixによる被害に遭うことは絶対にない」などの過信は禁物です。

また、ClickFixに騙された後の一次被害として最も多いのはインフォスティーラーへの感染だとお話ししましたが、「インフォスティーラーへの対策が万全だから安全だ」などと考えるのも危険です。ClickFixはある特定の脅威にまつわる手法ではなく、様々な脅威に応用可能な「1つの攻撃テクニック」です。リスクの範囲を狭く捉えすぎてしまわないよう注意が必要です。

ClickFixはユーザー自身の操作によって被害が生じるという特徴がありますが、対策をとったりログを追ううえでは特別な工夫が必要なのでしょうか。

スクリプトの実行は、多くの従業員が行う操作ではありません。特に、Windows端末で実行ダイアログを開き、外部で用意されたスクリプトを実行するケースは稀でしょう。普段からそうした操作を頻繁に行っている従業員がClickFixに引っかかってしまった場合は検知が難しいかもしれませんが、そうではない従業員がスポット的に外部から取得したスクリプトを実行しているのであれば、異常として気付きやすいのではないかと思います。

それでもやはり対策方法について不安がある場合は、自社が導入しているセキュリティソリューションのベンダーに、ClickFixはどのように検知できるかを聞いてみるのが良いでしょう。「検知できません」という回答が返ってくることはないと思います。おそらく、検知のための設定やチューニングの方法等について、アドバイスや支援が得られるのではないでしょうか。

すべての対策を自社で頑張るのではなく、専門家に最適な方法を聞いたほうが良いということですね。

ClickFixは手口のバリエーションが豊富です。自社で手口やスクリプトを検証しても、それ以外の手段で攻撃が行われてしまい、十分な検知ができない可能性も考えられます。自己流での対策はあまり得策ではないと思います。

従業員が私物端末でClickFixによる被害に遭ってしまうケースを見据えて、とるべき対策はありますか。

私物端末がClickFixによる被害を受けて、それが企業のシステムに影響を及ぼす場合は、ほとんどがインフォスティーラーに感染したケースだと考えられます。そのため、インフォスティーラーへの対策を講じることが特に重要です。

具体的には、保護しなければならないシステムに接続してくる端末等がインフォスティーラーに感染していた場合、それに気が付くことができるのか、あるいは気付いたうえでどのような対策を講じることができるのか、といった観点から対策を考えるのが良いと思います。

企業の管理下にない端末等については、どうしても対策に限界があります。そのため、基本的にはそうした端末が「もしやられてしまったら」という前提に立って、保護しなければならないシステム側での対策に目を向けたほうが良いでしょう。

ClickFixの被害に遭ってしまった場合の初動対応

セキュリティ部門に、従業員からClickFixに騙されてしまったという報告があった場合、どのような初動対応を取るべきでしょうか。

ClickFixに騙された後に何らかのマルウェアに感染している可能性が高いため、それに応じた対応が基本となります。まず、感染した端末を適切に封じ込めること。そして、被害拡大を防ぐための対策を講じる必要があります。

また、ClickFixの被害を受けた場合には、インフォスティーラーに感染している可能性が最も高いことから、すでに認証情報などが漏えいしている可能性を念頭に置いて、認証情報をリセットしたり、被害端末からアクセス可能なシステムに影響がないかを確認することも必要です。

ただし、繰り返しになりますが、インフォスティーラー以外のマルウェアによる被害を受ける可能性も当然考えられます。被害の状況にあわせて、そのほかのマルウェアに感染していないかも調査すべきでしょう。

根本的な対策がなされない限り、ClickFixはなくならない

今後もClickFixによる攻撃は、増加傾向が続きそうでしょうか。

ClickFixの手口が確実に実行できないような、エンドポイント側の技術的対策が講じられない限り、ClickFixによる攻撃は今後も続いていくだろうと見ています。

参考になる例として、以前はMicrosoft Office製品のマクロ機能を悪用してマルウェアに感染させる手口が横行していました。しかし、インターネットから取得したファイルではマクロが即座には実行されないようにするという技術的な対策が講じられた結果、マクロを用いた手口による攻撃キャンペーンはほぼ終息しました。このように根本的な対策がなされるまでは、ClickFixやそれに準じた手口による攻撃はなくならないのではないかと思います。

また、生成AIによって、ユーザーをより騙しやすい手法が生み出されることで、ClickFixが応用される幅が広がってしまうことも考えられます。最近ではTikTokで、Microsoft OfficeやSpotifyといったソフトウェアの海賊版の利用説明を騙った動画が投稿され、その手順に従ってコマンドを実行するとマルウェアに感染してしまうという事例が確認されていますが ⁶、この動画は、生成AIで作成されたものと見られています。

加えて、今後は国家関連のアクターが積極的にClickFixを使う可能性も考えられます。先ほど紹介した採用面接を装った事例は、北朝鮮のLazarusによるものということでした。近隣国である日本の私たちもターゲットになり得るということを、理解しておく必要があります。セキュリティ担当者としては、こうしたアクターの動向なども、定期的に確認しておく必要があるでしょう。

ClickFixという「1つの攻撃テクニック」だけに囚われないことが大切

ClickFixによる攻撃は当面止まないと見られるなか、セキュリティ担当者が対策を続けていくうえで意識すべきことについて教えてください。

今回は、ClickFixをテーマとしてお話ししてきましたが、ClickFixという「1つの攻撃テクニック」だけに囚われてしまうと、対策を取り違えてしまうかもしれません。その先にはインフォスティーラーをはじめとした、様々な脅威が控えています。ClickFixによる被害増加をきっかけとして、自社が直面し得る広範なセキュリティリスクに対してどういった対策を取らないといけないのかを見直すことが重要でしょう。

ClickFixについては、現状「これをやれば絶対大丈夫だ」という完璧な対策はありません。セキュリティ担当者としては、ClickFixによる新たな攻撃事例が散発的に出てくるなか、その方法が自社にとってどれくらいリスクになり得るか、実際の被害に繋がり得るのかなどを、少し大変ですが、定期的に確認・評価していくことが大切です。そのうえで、確認された脅威に対して、現在講じているセキュリティ対策が有効に機能しているかを継続的に点検していっていただけたらと思います。

（取材・文：UNITIS編集部）

---