ClickFix攻撃の恐怖｜偽修復画面に騙され企業が100万円の損失を被った事例と対策

bgt?aid=250609106691&wid=001&eno=01&mid=s00000005993007035000&mc=1

ClickFix攻撃で中小企業が受けた衝撃的な被害
ClickFix攻撃の巧妙な手口を徹底解剖
1. 攻撃の流れ：なぜ騙されてしまうのか
2. 検知が困難な理由：ファイルレス攻撃の脅威
企業・個人が受けた実際の被害事例
ClickFix攻撃を見抜く方法と初期対応
1. 怪しいページの見分け方
2. もし実行してしまった場合の緊急対応
効果的な対策：三層防御でClickFix攻撃を阻止
企業向け：組織全体でのClickFix対策
2025年のClickFix攻撃トレンドと今後の展望
個人ユーザー向け：今すぐできるClickFix対策
まとめ：ClickFix攻撃に負けない組織・個人になるために
一次情報または関連リンク

ClickFix攻撃で中小企業が受けた衝撃的な被害

私がフォレンジック調査を担当した案件の中でも、特に印象深いのが大阪の製造業A社の事例です。経理担当者が「請求書が開けない」というメールから偽の修復画面に誘導され、指示通りにPowerShellコマンドを実行した結果、わずか3時間で銀行口座から100万円が不正送金されました。

この攻撃手法「ClickFix」は、2024年から急速に拡散し、現在では日々数千台の端末が標的となっています。従来のマルウェア感染と違い、利用者自身が「修復のため」と思ってコマンドを実行してしまうため、セキュリティソフトでも検知が困難なのが最大の特徴です。

ClickFix攻撃の巧妙な手口を徹底解剖

攻撃の流れ：なぜ騙されてしまうのか

ClickFix攻撃は、人間の「困った時は自分で解決したい」という心理を悪用します：

入口の多様化：フィッシングメール、悪性広告、改ざんされた正規サイトから偽のランディングページへ誘導
偽装の精巧化：CloudflareやreCAPTCHA、Microsoft Office、Discordの画面を本物そっくりに模倣
心理的誘導：「人間である確認」「修復手順はこちら」といった馴染みのあるガイダンスで安心させる
自動コピー：ボタンクリックと同時に悪性コマンドがクリップボードにコピーされる
実行指示：Win+RキーでRunダイアログを開かせ、コマンドを貼り付けさせる

実際に私が解析した攻撃では、米国社会保障庁を装った偽サイトで「CAPTCHA認証エラー」を表示し、「修復のため以下のコマンドを実行してください」と指示していました。利用者は善意でコマンドを実行したのですが、その瞬間にLumma Stealerという情報窃取マルウェアが侵入したのです。

検知が困難な理由：ファイルレス攻撃の脅威

ClickFix攻撃が厄介なのは、正規のWindowsツールを悪用する点です：

msbuild.exe、regasm.exe、powershell.exe、rundll32.exeなどの標準バイナリ（LOLBins）を使用
ファイルをディスクに保存せず、メモリ上でコードを展開
痕跡が残りにくく、事後の調査が困難

bgt?aid=250609106868&wid=001&eno=01&mid=s00000012042012010000&mc=1

bgt?aid=250609106866&wid=001&eno=01&mid=s00000016565003012000&mc=1

企業・個人が受けた実際の被害事例

【事例1】中小IT企業：顧客情報85,000件流出

東京のシステム開発会社では、営業担当者が「Discordサーバーに参加できない」という偽の画面から指示されたコマンドを実行。AsyncRATという遠隔操作ツールに感染し、社内ネットワークを通じて顧客データベースにアクセスされました。

被害内容：

顧客情報85,000件の流出
システム復旧費用：350万円
顧客対応・法的費用：200万円
業務停止による機会損失：推定500万円

【事例2】個人ユーザー：暗号資産ウォレット全額盗難

フリーランスのデザイナーが動画サイトで「再生エラーを修復」というボタンをクリック。macOS向けのAtomic macOS Stealer（AMOS）に感染し、暗号資産ウォレットから約80万円相当のビットコインが盗まれました。

【事例3】地方自治体：職員端末から住民情報アクセス

市役所職員が「Officeファイルが開けない」という偽エラーに対処しようとして、NetSupportに感染。攻撃者が職員端末を遠隔操作し、住民台帳システムへの不正アクセスを試みた事案もありました（幸い、システム側の制限により大きな被害は免れました）。

ClickFix攻撃を見抜く方法と初期対応

怪しいページの見分け方

以下の特徴があるページは要注意です：

「人間確認のためコマンドを実行してください」という指示
Win+Rキーの操作を求める画面
PowerShellやコマンドプロンプトへの貼り付けを指示
CAPTCHAが何度やってもエラーになる
URLに短縮サービス（bit.ly等）や珍しいドメイン（.live、.shop、.icu等）を使用

もし実行してしまった場合の緊急対応

すぐにネットワークを遮断：Wi-Fi接続を切る、LANケーブルを抜く
セキュリティソフトでフルスキャン：アンチウイルスソフトなどの高性能なアンチウイルスソフトで徹底的にチェック
パスワード変更：すべてのオンラインアカウントのパスワードを別端末から変更
銀行・クレジット会社に連絡：不正取引がないか確認し、必要に応じてカード停止
専門家に相談：CSIRTやセキュリティ専門会社にフォレンジック調査を依頼

効果的な対策：三層防御でClickFix攻撃を阻止

第一層：入口対策

メールセキュリティ強化

URL再検査機能の有効化（クリック時の再評価）
HTML添付ファイルのサンドボックス解析
フィッシングメール検出精度の向上

Webセキュリティ

WebフィルタとSmartScreenの併用
ネットワーク保護による新規悪性ドメインの早期ブロック
VPN を使用してIPアドレスを隠匿し、地理的制限のある悪性サイトへのアクセスを回避

第二層：端末ハードニング

Windowsの設定強化

Runダイアログ（Win+R）の無効化
PowerShell実行ポリシーをAllSignedまたはRemoteSignedに設定
PowerShellスクリプトブロックロギングの有効化
攻撃面削減（ASR）ルールで難読化スクリプトの実行をブロック

macOSの対策

Gatekeeperの厳格化
システム整合性保護（SIP）の確認
ターミナル使用の業務制限

第三層：監視・検知

ログ監視のポイント

RunMRUレジストリの定期チェック
PowerShellスクリプトの実行履歴
LOLBins（msbuild.exe、regasm.exe等）の不審な起動
短時間に連続するDNSクエリ
短縮URLの解決状況

企業向け：組織全体でのClickFix対策

社員教育プログラム

定期的なセキュリティ研修で以下の点を徹底：

「修復」「人間確認」を理由とするコマンド実行は一切禁止
貼り付け前に実行内容を確認し、不明な場合はCSIRTにエスカレーション
ClickFix攻撃の最新手口を共有

インシデントレスポンス計画

検知：自動化されたログ監視でClickFix攻撃の兆候を早期発見
封じ込め：感染端末の即座なネットワーク隔離
根絶：マルウェアの完全除去とシステムの復旧
復旧：業務継続性を確保しながらの段階的復旧
学習：インシデントから得た教訓の組織への共有

Webサイト運営者向け：Webサイト脆弱性診断サービスの重要性

自社サイトが改ざんされてClickFixページに悪用されるケースが増加しています。Webサイト脆弱性診断サービスを定期的に実施することで：

SQLインジェクション脆弱性の発見・修正
不正ファイルアップロード対策
管理画面への不正アクセス防止
セキュリティパッチの適用状況確認

これらの対策により、サイト改ざんによるClickFix攻撃の踏み台利用を防げます。

2025年のClickFix攻撃トレンドと今後の展望

新たな脅威：AIを活用した攻撃の高度化

最近の調査では、ChatGPTなどの生成AIを悪用してより自然な日本語のフィッシングメールや、地域性を考慮した偽サイトが作成されています。また、音声合成技術を使った「音声指示型ClickFix」も確認されており、電話でコマンド実行を指示する新手法も登場しています。

クラウドサービスを悪用した拡散

正規のクラウドストレージサービスやCDNを悪用してClickFixページを配信する手口が増加。正規ドメインからの配信により、セキュリティソフトの検知を回避するケースが多発しています。

IoT機器への拡張

ルーターやNASなどのネットワーク機器の管理画面を模倣したClickFix攻撃も確認されており、家庭内ネットワーク全体が危険に晒される可能性があります。

個人ユーザー向け：今すぐできるClickFix対策

基本的な防御策

OS・ソフトウェアの自動更新を有効化
信頼できるアンチウイルスソフトをインストールし、リアルタイム保護を有効にする
VPN を使用して通信を暗号化し、悪性サイトへのアクセスをブロック
怪しいメールのリンクはクリックしない
コマンド実行を求めるサイトは即座に閉じる

ブラウザセキュリティ設定

JavaScriptのクリップボードアクセスを制限
ポップアップブロッカーを有効化
ダウンロード前の確認を必須に設定
自動ダウンロードを無効化

パスワード管理とバックアップ

パスワードマネージャーを使用して強固なパスワードを生成・管理
二要素認証（2FA）を可能な限りすべてのアカウントで有効化
重要なデータは外部メディアやクラウドに定期的にバックアップ

まとめ：ClickFix攻撃に負けない組織・個人になるために

ClickFix攻撃は、技術的な防御だけでは完全に防げない新しいタイプの脅威です。攻撃者は利用者の善意や困った時の心理を巧妙に悪用し、自らの手で攻撃を完了させるよう仕向けます。

重要なのは「**貼り付けない・実行しない**」という原則を徹底すること。そして：

入口対策：メールフィルタリング、Webセキュリティ、VPN による通信保護
端末保護：アンチウイルスソフトの導入、システム設定の強化
継続監視：ログ分析、異常検知、定期的なWebサイト脆弱性診断サービス
教育・訓練：最新の攻撃手法の共有、模擬訓練の実施

これらの多層防御を組み合わせることで、進化し続けるClickFix攻撃に対抗できます。

現役CSIRTメンバーとして断言しますが、「自分は騙されない」という過信が最大のリスクです。攻撃者は日々手口を巧妙化させており、誰もが被害者になる可能性があります。だからこそ、技術的な対策と人的な対策を両輪で進め、組織全体のセキュリティレベルを向上させることが不可欠なのです。

bgt?aid=250609106858&wid=001&eno=01&mid=s00000018459001011000&mc=1

一次情報または関連リンク

ClickFix攻撃に関するMicrosoft脅威分析チーム報告