ClickFix(およびFileFix)とは何ですか?

by

最終更新日:
11 読了時間:11分
ClickFix(およびFileFix)とは何ですか?

主なポイント

  • ClickFixは、ユーザーを騙して、オペレーティングシステムのネイティブユーティリティを通じて、バックグラウンドでコピーされた悪意のあるクリップボードコマンドを手動で実行させるような、欺瞞的な手法です。
  • 高度なFileFixの亜種は、被害者に標準のWindowsファイルエクスプローラーのアドレスバーに悪意のあるコードを貼り付けさせるよう仕向けることで、管理者権限のコマンドブロックを迂回する。
  • これらの攻撃はファイルレスであり、認証後のアクティブなエンドポイントを悪用するため、従来のウイルス対策スキャナー、EDRプラットフォーム、および多要素認証を巧みに回避することに成功しています。
  • このベクターは、機会を伺うサイバー犯罪者の情報窃取グループと、高度な国家主体のスパイネットワークの両方によって導入される、好まれる初期侵入手段へと変貌を遂げた。
  • この脅威から組織を守るためには、グループポリシーを通じてリスクの高いインターフェースを制限し、エンドポイントの動作異常を追跡し、状況に応じた従業員研修を実施する必要があります。

「私はロボットではありません」をクリックしても、緑色のチェックマークが表示される代わりに、簡単な手動確認手順を完了するよう求めるエラーメッセージが表示されます。ユーザーが気づかないうちに、そのページで実行されているJavaScriptによって、目に見えない悪意のあるコマンドがすでにユーザーのコンピューターのクリップボードに直接コピーされています。表示されるプロンプトでは、Windowsの「ファイル名を指定して実行」ダイアログを開き、そのテキストを貼り付けてEnterキーを押すことで、問題を「修正」するよう指示されます。

これが、過去2年間に脅威の現場で爆発的に広がった危険なソーシャルエンジニアリング手法「ClickFix」の仕組みです。「FileFix」として知られる、より新しく、さらにステルス性の高い亜種と相まって、この攻撃ベクトルは従来の防御モデルを根底から覆しました。

ClickFix-攻撃フロー

ClickFix攻撃がセキュリティチームにとってこれほどまでに苛立たしいのは、従来の侵害の兆候がまったく見られない点にある。傍受すべき悪意のあるファイルのダウンロードもなく、悪用されるソフトウェアの脆弱性も存在せず、解読されたパスワードもない。

サイバーセキュリティにおける「ClickFix」とは何か?

ClickFixとは、侵害された、あるいは悪意のあるウェブページが、ユーザーに対して偽のエラーメッセージ、偽のCAPTCHA、または認証の要求を表示する、ファイルを使用しないソーシャルエンジニアリングの手法です。

セキュリティ研究者がこの特定の手法を初めて報告したのは2024年のことである。これは、2023年10月にその痕跡が確認されていた「ClearFix」と呼ばれる、より原始的な先行手法から発展したものである「ClickFix」という名称は公式な業界標準の呼称ではないが、2024年から2025年にかけてこの脅威が急速に広まるにつれ、サイバーセキュリティ業界全体で事実上の標準用語として定着した。

この心理的な仕掛けは、ユーザーの習慣に完全に依存しています。人々は、本当に見たいコンテンツにたどり着くために、確認ボックスをクリックしたり、些細なブラウザのエラーを自分で解決したりすることを、すっかり習慣づけています。ClickFixは、人為的に仕組まれた技術的な障害に対して即座の解決策を提供することで、まさにその反射的な行動を利用しているのです。

なぜClickFixは従来のセキュリティツールを迂回できるのか?

一般的な企業の防御システムは、ネットワーク境界に侵入しようとする悪意のあるペイロードを検知するように設計されています。ClickFixは、いくつかの明確な運用上の利点により、こうした防御体制を容易に回避します:

  • セキュアなメールゲートウェイ、静的なウイルス対策エンジン、そして多くのエンドポイント検知・対応(EDR)プラットフォームは、初期の侵害段階では実行可能ファイルが実際にダウンロードされたり添付されたりしないため、分析すべき対象がまったく存在しないのです。
  • 乗っ取られたクリップボードコマンドは、PowerShell、Windows コマンドプロンプト、macOS ターミナルといった、信頼性の高いプリインストール済みのシステムユーティリティを利用して、そのタスクを実行します。IT 管理者は、正当な業務のためにまさにこれらのツールを毎日使用しているからです。
  • MFAは、ログインセッション中の本人確認とアクセス権限の保護を目的としています。ClickFix攻撃は、認証が完了した直後のアクティブなエンドポイントセッションを直接標的とするため、たとえ最も堅牢なMFAポリシーであっても、その実行を阻止することはできません。

ClickFix攻撃は、具体的にどのような手順で実行されるのでしょうか?

ClickFixのキャンペーンは、通常、5つの明確な戦術的フェーズを経て展開されます:

ステップ1:おとり

攻撃者は、正規のウェブサイトを乗っ取る(多くの場合、セキュリティ対策が不十分なWordPressサイトや広告ネットワークを侵害することで)か、専用の悪意あるドメインを設定します。彼らは、タイポスクワッティングやマルバタイジングを利用して、これらのサイトへ自然検索によるトラフィックを誘導することがよくあります。信頼性を最大限に高めるため、これらのページはMicrosoft、Cloudflare、Booking.comといった信頼されている企業ブランドを巧妙に装っています。

ステップ2:偽の認証

ユーザーがページにアクセスすると、攻撃者はオーバーレイを使用して、本来表示されるはずのコンテンツを遮ります。ユーザーには、非常にリアルな偽のCAPTCHAボックスや、偽の「ブラウザの更新が必要です」という警告、あるいは目立つ「修正」や「確認」ボタンが付いたドキュメントの読み込みエラー画面が表示されます。

ステップ3:クリップボードの乗っ取り

被害者がそのボタンをクリックした瞬間、隠されたバックグラウンドのJavaScriptスニペットが実行されます。このスクリプトは、ユーザーのシステムクリップボードの内容を、高度に難読化された悪意のあるコマンド文字列で自動的に上書きします。このクリップボードの変更は、目に見える確認画面が表示されることなく、密かに実行されます。

ステップ4:手順

ウェブページはすぐに操作手順画面に切り替わります。この画面では、被害者に一連のキーボードショートカットを正確に実行するよう誘導します。具体的には、「Win + R」キーを押してWindowsの「ファイル名を指定して実行」ボックスを開き、「Ctrl + V」キーを押してコピーした内容を貼り付け、最後に「Enter」キーを押すという手順です。このページでは、この一連の操作を、読み込みエラーを解決するために必要な手動による修正として説明しています。

ステップ5:実行とペイロードの配信

ユーザーがEnterキーを押すと、オペレーティングシステムは隠されたクリップボードコマンドを実行します。これにより通常、リモートサーバーへのバックグラウンドでの接続が密かに開始され、特殊なマルウェアがダウンロード・インストールされます。ブラウザ自体は明示的なファイルダウンロードリンクを一切処理しないため、ブラウザレベルのWebフィルタではこのインストールを完全に検知できません。

FileFixとは何か、そしてその攻撃はどのように進化しているのか?

企業のセキュリティオペレーションセンター(SOC)がWindowsの「ファイル名を指定して実行」ダイアログの使用を監視・制限し始めたことを受け、攻撃者たちはすぐに手口を変更した。2025年6月23日、セキュリティ研究者のmr.d0x氏は、 「FileFix」と名付けられた、より検知されにくい新たな手口を公表した。

FileFix攻撃は、ユーザーに管理用コマンドプロンプトを強制するのではなく、Webページ上に一見普通の「ファイルをアップロード」ボタンを表示します。このボタンをクリックすると、正規のWindowsファイルエクスプローラーのウィンドウが開きます。その後、指示ページでは、ユーザーに対し、ファイルエクスプローラー上部のアドレスバーをクリックし、クリップボードの内容(ファイルパスに見せかけたもの)を貼り付けて、Enterキーを押すよう指示します。

FileFix-Variant-Flow

この亜種が著しく危険である理由は2つある。第一に、一般の企業従業員にとって、ファイルエクスプローラーは、技術的な印象の強い「ファイル名を指定して実行」ダイアログよりもはるかに馴染みがあり、警戒心を抱きにくいからだ。第二に、ファイルエクスプローラーはデスクトップの主要な操作に深く組み込まれているため、管理用コマンドユーティリティとは異なり、ITチームが従来のグループポリシー(GPO)による制御でアクセスを制限することが困難である。

悪用経緯:攻撃者がFileFixをどのように悪用したか

脅威グループは、この新たな研究結果を驚くべき速さで実戦に活用しました。チェック・ポイント・リサーチは、最初の公開から2週間も経たない2025年7月6日までに、稼働中のフィッシングインフラ内でFileFixのコードをテストしているアクティブな脅威アクターを検知しました。 2025年7月中旬までに、DFIRレポートは、FileFixを利用してInterlockリモートアクセストロイ(RAT)の高度な亜種を配信する、活発な実稼働中のキャンペーン(「KongTuke」という名称で追跡)を記録した。2025年9月までに、研究者たちは、ステガノグラフィーを組み込んだ改変されたFileFixの亜種を発見した。これらは、悪意のあるペイロードを無害な画像ファイル内に完全に隠蔽し、多言語のフィッシングサイトにホストされて、StealCマルウェアを密かに配布していた。

ClickFix の活用事例

ClickFixは、実験的なサイバー犯罪の手口から、高度に洗練された脅威グループが好んで使用する展開ツールへと変貌を遂げました。2024年10月から2025年1月にかけてのわずか90日間の間に、4つの主要な国家系脅威アクターが、ClickFixを自らが展開するサイバー諜報活動に組み込みました。それらは、ロシアのAPT28、北朝鮮のKimsuky、イランのMuddyWater、そしてロシアと関連のあるグループCOLDRIVERです。 パキスタンのAPT36も、その直後の2025年5月にこれに追随した。これらの高度持続的脅威(APT)は、作戦を一から構築するのではなく、既存のフィッシングフレームワークにClickFixを組み込んだ。

いくつかの注目すべきキャンペーンは、こうした作戦の驚くべき多様性を浮き彫りにしている:

  • APT28によるGoogleスプレッドシートの偽装:このグループは、極めて精巧に作られた偽のGoogleスプレッドシートページを利用して、被害者をreCAPTCHAの入力画面へと誘導した。チェックボックスをクリックすると、気付かれないうちに暗号化されたSSHトンネルが確立され、Metasploitが標的のネットワークに直接展開され、攻撃者に恒久的なバックドアアクセス権が与えられた。
  • MuddyWaterによる「パッチ・チューズデー」キャンペーン:TA450という名称で活動するこのグループは、マイクロソフトの月例「パッチ・チューズデー」のスケジュールに合わせて、大規模なフィッシング攻撃を組織的に展開した。これらのメールは、緊急のWindowsセキュリティ更新プログラムに関する警告を装っており、中東地域の著名な組織少なくとも39社を標的として成功を収めた。
  • Storm-1865 Hospitality Wave:この攻撃者は、Booking.comからの自動送信メールを系統的に偽装し、ホテルや旅行業界の管理職を標的にして、従業員の認証情報を収集していた。
  • 自動車業界のサプライチェーン侵害:2025年3月、LES Automotiveという1社のサードパーティベンダーが侵害されたことをきっかけに、100以上の異なる自動車販売店のウェブサイトに、ClickFixの感染スクリプトが同時に注入された。
  • ランサムウェアの余波:Interlockランサムウェアグループも、初期アクセス手段としてClickFixを採用しており、2025年8月に米国の州政府または地方自治体を標的としたインシデントが記録されている。

ClickFixマルウェアはどのように進化してきたのか?

この攻撃の技術的な参入障壁は劇的に低下した。現在、商用「ClickFixビルダー」キットがアンダーグラウンドのハッキングフォーラムで広く売買されており、技術力の低いサイバー犯罪者でもカスタマイズされた攻撃キャンペーンを展開できるようになっている。さらに、この攻撃はもはやWindowsシステムに限定されていない。最近の亜種では、base64エンコードされたターミナルコマンドを介してmacOSユーザーを標的とするほか、Linuxのエンタープライズ環境も標的範囲に拡大している。 Recorded FutureやCenter for Internet Securityをはじめとする独立系の脅威インテリジェンスチームは、2026年に入ってもClickFixが依然として最も活発に利用されている初期侵入手法の一つであり、新たな誘引テーマ(偽の会議招待やソフトウェア更新の通知など)が引き続き出現していると報告している。

これらの手法を通じて配信される最終的なペイロードには、以下のような多種多様な危険なマルウェアが含まれています:

ペイロードの分類確認された特定のマルウェアファミリー
情報窃取型マルウェアLumma Stealer、StealC、Vidar、DanaBot、Atomic macOS Stealer
リモートアクセス型トロイの木馬(RAT)AsyncRAT、XWorm、NetSupport、VenomRAT、Quasar
ローダーおよびアクセス前駆体Latrodectus、MintsLoader、DarkGate
ランサムウェアの運用インターロック、キリン
悪用されたリモート管理ツール「Level」RMMツール「ScreenConnect」

こうしたペイロードの中でも、Lumma Stealerは依然として最も支配的な存在である。マイクロソフトは、2025年3月から5月にかけてのわずか2か月の間に、世界中で39万4,000台以上のWindowsデバイスが感染していることを確認した。マイクロソフト、ユーロポール、FBI、および米国司法省が連携した大規模な法執行機関による作戦により、このインフラの摘発は成功裏に実施されたものの、Lummaのバックエンドの一部はわずか数週間のうちに復旧し、運用を再開してしまった。

ClickFixとFileFixの数値データはどのようなものか?

こうしたファイルレス型攻撃に関する定量的な指標は、なぜこれらが業界全体にとっての緊急事態となっているのかを示しています:

  • 517%:ESETが記録したところによると、2025年上半期のClickFixの検知件数は、2024年下半期と比較して大幅に急増した。この爆発的な増加により、ClickFixは世界的に見て、従来のフィッシングに次ぐ、2番目に多い初期攻撃ベクトルとなった。
  • 8%: テレメトリによってブロックされた、全世界のWebベースの攻撃のうち、ClickFixスクリプトによって明示的に引き起こされた攻撃の総割合。
  • 47%:過去12か月間に、マイクロソフトのDefender Experts脅威ハンティングチームが発行した初期アクセス通知のうち、ClickFixの感染経路に直接起因するとされたものの割合。
  • 54%:ベライゾンの「2025年データ侵害調査報告書(DBIR)」によると、実際の暗号化攻撃が発生する前に、企業のドメイン認証情報がステラーログのマーケットプレイスで売買されていたランサムウェア被害者の割合。

この最後の指標は、認証情報の盗難からランサムウェアへの展開に至る危険な一連の流れを浮き彫りにしています。従業員が情報窃取型マルウェアによって認証情報を盗まれてから、脅威グループがその企業ネットワーク全体にランサムウェアを展開するまでの時間の中央値は、現在わずか2日です。ClickFixやFileFixは、こうした認証情報市場を活性化させる主要な配信手段の一つであるため、壊滅的なランサムウェアの展開を回避するには、こうした初期のやり取りを阻止することが不可欠な前提条件となります。

ClickFixやFileFixによる攻撃をどのように見分ければよいでしょうか?

企業の従業員は、この脅威に対する最前線の防衛線です。エンドポイントを保護するために、不審なWebプロンプトが表示された場合は、以下の安全チェックリストと照らし合わせて確認してください:

  • 正規のウェブサイトが、本人確認やブラウザのエラー解消のために、Windowsの「ファイル名を指定して実行」ダイアログ、ターミナル、またはファイルエクスプローラーのアドレスバーを開くよう求めることは決してありません。
  • Win + R」、「Cmd + Space」、あるいは「Ctrl + V」といったキーの組み合わせを押すよう指示するCAPTCHAやエラー警告には、疑いの目を向けてください。
  • 何かを貼り付けた際に、自分がコピーした覚えのない長いコードの文字列が表示された場合は、クリップボードが乗っ取られています。その内容をどこにも貼り付けたり、実行したりしないでください。
  • 標準的なセキュリティツールは、すべてアクティブなブラウザタブ内で動作します。ウェブブラウザを閉じたり、外部のデスクトップソフトウェアを操作したりする必要は一切ありません。

ブラウジング中やメッセージを通じて、見慣れないリンクや不審なリンクを見つけた場合は、操作を行う前に、専用の無料リンクチェッカーツールを使ってそのリンクの状態を確認することができます。

ITチームは、ClickFixやFileFixからどのように防御すればよいのでしょうか?

これらの攻撃は、従来のエクスプロイトを悪用するのではなく、正当なシステムの動作を悪用するため、これらに対抗するには多層的なセキュリティモデルが必要となる。

1. 高リスクなインターフェースを制限・監視する

ITエンジニアリングチームは、運用上可能な限り、標準ユーザー(管理者権限を持たないユーザー)による「ファイル名を指定して実行」ダイアログ(cmd.exe)やネイティブPowerShellの実行といった管理用コマンドインターフェースへのアクセスをブロックするため、制限的なグループポリシー(GPO)制御を実施すべきである。完全な制限が不可能な場合は、監視インフラを構成し、「RunMRU」レジストリキー内の異常を検知し、クリップボードの内容の急激な変更をすべて記録し、PowerShellスクリプトのブロックに関する包括的なログ記録を徹底させるべきである。

2. ファイルの枠を超えた動き検出アーキテクチャ

従来の静的なファイルスキャンではファイルレス型マルウェアに対処できないため、セキュリティ運用では行動の連鎖全体を把握する必要があります。セキュリティスタックには、受信するHTMLやURLの構造をスキャンする高度な境界型Webフィルタと、システムツールにコマンドを注入するブラウザプロセスの特有のシグネチャを識別できるエンドポイント行動分析機能を組み合わせるべきです。

3. フィッシング攻撃の初期の感染経路を遮断する

ClickFixによる攻撃はウェブ上で行われますが、最初のリンクは、信頼できる企業ブランドや社内ドメインを装った標的型フィッシングメールや悪意のある広告を通じて、広範囲に拡散されています。 インターネットセキュリティセンター(CIS)および多州情報共有・分析センター(MS-ISAC)の報告によると、公共部門の組織は、信頼できるサービスの悪用されたサブドメイン(trycloudflare.com や r2.dev など)を利用したフィッシングの誘引メールを頻繁に受信しており、これらは標準的なメールフィルターを迂回して、被害者を偽の CAPTCHA 画面にリダイレクトするものです。

Domain-based Message Authentication, Reporting, and Conformance(DMARC)などのドメイン認証プロトコルを、p=rejectという厳格な適用ポリシーで実施することで、脅威アクターが初期のフィッシング詐欺メールを送信する際に、組織のドメインを偽装する能力を大幅に低減できます。 ここで明確にしておくべき重要な点は、DMARCは身元確認およびブランド保護のための対策であり、エンドポイントでの実行を直接防ぐものではないということです。従業員がすでに悪意のあるサイトにアクセスしてしまった後に、端末にコードを貼り付けることを防ぐことはできませんが、攻撃の連鎖を最初に引き起こす、非常に説得力のあるドメイン偽装メールを攻撃者が送信する能力を大幅に弱体化させることができます。

PowerDMARCで、今日のブロックドメイン偽装やフィッシングの脅威を阻止

4. 状況に応じたユーザートレーニングの実施

単に「不審なリンクをクリックしない」と従業員に指示するだけの一般的な企業向けセキュリティ研修は、ClickFixが用いる特定の視覚的パターンに対してはまったく効果がありません。組織は、この操作の流れに完全に焦点を当てた、短時間で的を絞った研修を実施する必要があります。研修で得られる教訓は明確かつ実践可能なものでなければなりません。つまり、ウェブサイトからWindowsの「ファイル名を指定して実行」ボックスやファイルエクスプローラーのアドレスバーにテキストを貼り付けるよう求められた場合は、直ちに操作を中止し、IT部門に報告してください。

5. 自己修復よりも報告を重視する

ClickFixは、ヘルプデスクに連絡せずに、些細な技術的な不具合を自分で解決したいという人間の自然な傾向を積極的に利用しています。セキュリティチームは、明確で手間のかからない報告プロセスを構築することで、この行動に対抗しなければなりません。従業員は、不審な認証プロンプトを報告することが、当然の、かつ安全な行動であることを認識しておく必要があります。

結びの言葉:人的要素の確保

ClickFixやFileFixは、現代のサイバー犯罪における極めて戦略的な転換を象徴しています。これらのキャンペーンは、複雑なゼロデイ脆弱性を探し出すことに時間を浪費することはありません。その代わりに、はるかに単純な脆弱性、すなわち、些細な技術的な障害が発生した際に、人間が本能的に素早くクリックしてしまうという反応を標的としています。この単純な行動的エクスプロイトは極めて効果的であることが実証されており、現在では、機会主義的なサイバー犯罪者から高度な国家レベルの諜報ネットワークに至るまで、幅広く活用されています。

この脅威を撃退するには、バランスのとれた多層的な防御体制が必要です。組織は、予防的なエンドポイント監視、従業員向けの具体的な行動研修、および技術的な認証制御を組み合わせ、初期の感染経路を遮断しなければなりません。

厳格なドメイン認証を導入することで、自社の企業ドメインから送信される不正なメールを完全にブロックできます。メールのセキュリティ境界を管理し、企業のブランドを保護しましょう。 PowerDMARC ドメインセキュリティプラットフォーム を活用して、メールエコシステムを分析し、フィッシング配信ネットワークに対する能動的な防御を今すぐ実施しましょう。

よくあるご質問

サイバーセキュリティにおける「ClickFix」とは何ですか?

ClickFixは、侵害されたウェブサイトが偽のCAPTCHAやブラウザのエラーメッセージを表示する、ファイルレスのソーシャルエンジニアリング手法です。ユーザーがそのプロンプトをクリックすると、バックグラウンドで実行されるJavaScriptによって悪意のあるコマンドがクリップボードにコピーされ、ユーザーは指示に従って、Windowsの「ファイル名を指定して実行」ボックスなどの信頼できるシステムツールを使用して、そのコマンドを手動で貼り付けて実行するよう誘導されます。

ClickFixとFileFixの違いは何ですか?

ClickFixは、被害者をだまして、Windowsの「ファイル名を指定して実行」ダイアログやmacOSのターミナルといったシステム管理用ユーティリティに、クリップボードに保存された悪意のあるコマンドを直接貼り付けさせる手口です。FileFixは、これよりも高度な亜種であり、ユーザーをだまして標準のWindowsファイルエクスプローラーウィンドウを開かせ、アドレスバーに直接コマンドを貼り付けさせるものです。このインターフェースはユーザーにとって馴染み深く、IT部門が制限を課すのがより困難です。

ClickFix攻撃は、悪意のあるファイルを使わずに、どのようにしてコンピュータに感染させるのでしょうか?

この攻撃は、初期の侵入段階においてファイルのダウンロードを一切行いません。ネイティブのバックグラウンドJavaScriptを利用して、ユーザーのシステムのクリップボードを乗っ取ります。その後、被害者は、信頼性の高い、あらかじめインストール済みのOS管理ユーティリティを使用して、その隠されたコードを手動で貼り付けて実行します。この手法は「リビング・オフ・ザ・ランド」として知られています。

ClickFixやFileFixを利用しているのはどのような脅威アクターか?

この手法は、脅威の全体像において広く利用されています。この手法は、広範囲に活動するサイバー犯罪者の情報窃取グループ(Lumma Stealerなどのペイロードを配信するグループ)だけでなく、ロシアのAPT28やCOLDRIVER、北朝鮮のKimsuky、イランのMuddyWater、パキスタンのAPT36など、複数の国に拠点を置く高度に洗練された国家主体の諜報グループにも採用されています。

ウイルス対策ソフトや多要素認証(MFA)は、ClickFix攻撃を防ぐことができるのでしょうか?

従来の静的なウイルス対策ソフトウェアは、初期のやり取りの段階でスキャン対象となる悪意のあるファイルがダウンロードされないため、ClickFixを検出できないことがよくあります。また、多要素認証(MFA)でも感染を防ぐことはできません。これは、この攻撃がWebアプリケーションのログインセッションを乗っ取ろうとするのではなく、稼働中のエンドポイントデバイスを直接標的としているためです。

CAPTCHAや「修正してください」というプロンプトが、ClickFix攻撃であるかどうかをどのように見分ければよいでしょうか?

Google reCAPTCHAのような本物の人間確認ツールは、アクティブなブラウザタブ内で完全に動作し、外部のデスクトップソフトウェアを起動する必要は一切ありません。エラーを解決するために、「Win + R」などのキーボードショートカットを使用したり、「ファイル名を指定して実行」ボックスを開いたり、ファイルエクスプローラーのアドレスバーにテキストを貼り付けたりするよう指示するプロンプトは、すべてClickFix攻撃です。