- ClickFix は、偽のエラーページまたは検証ページからスクリプトをコピーして、ユーザーを操作して悪意のあるコマンドを実行させるソーシャル エンジニアリング手法です。
- これは、複雑な攻撃チェーンにおける初期アクセス ベクトルとして使用され、Lumma Stealer、NetSupport RAT、Latrodectus、ARECHCLIENT2 などのインフォスティーラーや RAT を配布します。
- 攻撃は、侵害されたウェブサイト、マルバタイジング、偽の CAPTCHA、Google Meet/Zoom ページ、ソーシャル メディア上の動画などを利用して行われ、ユーザーと企業の両方に影響を及ぼします。
- この防御では、EDR と高度な監視を、ソーシャル エンジニアリング、コマンド制限ポリシー、RunMRU や PowerShell ログなどの成果物のレビューに関する広範なトレーニングと組み合わせます。
ClickFix攻撃は、最も流行しているソーシャルエンジニアリングのトリックの1つになっています サイバー犯罪の世界では、偽のブラウザ警告やセキュリティ チェックを使用して一見無害に見えるキャンペーンが存在します。しかし最終的には、ユーザーがほとんど気付かないうちに、自分のコンピューター上で悪意のあるコードを実行してしまうことになります。
ClickFixは単なる技術的な好奇心ではなく、すでにラテンアメリカ、ヨーロッパ、その他の地域で実際のキャンペーンで確認されています。、インフォスティーラー、リモートアクセス型トロイの木馬(RAT)、GHOSTPULSEやNetSupport RATなどの複雑なローダーを配布し、さらにはTikTok動画やYouTubeチュートリアルを利用して何千人もの被害者にリーチしています。
ClickFix 攻撃とは具体的に何でしょうか?
ClickFixは比較的最近のソーシャルエンジニアリング手法です(2024年以降に普及しました)。 これは非常に単純なことに基づいています。つまり、想定される技術的な問題を「修正」したり検証を完了したりするために、ユーザーにコマンドをコピーして自分のシステムで実行するよう説得することです。
悪意のあるプログラムを直接ダウンロードする代わりに、悪意のある Web サイトはスクリプトまたはコマンドをクリップボードに挿入します。 (たとえば、Windows の PowerShell や MSHTA コマンド) を実行し、被害者がコンソール、実行ボックス、またはターミナルに貼り付けて実行するための手順を段階的に表示します。
この戦術は、多くの研究者が「検証疲れ」と呼ぶものを悪用するものである。ユーザーは、メッセージをあまり分析せずに「私は人間です」「修正する」「今すぐ更新する」などのボタンを素早くクリックすることに慣れているため、画面が Cloudflare 認証、Google CAPTCHA、または Google Meet や Zoom のエラーのように見える場合、非常に脆弱になります。
ClickFixという名前は、これらのルアーに通常表示されるボタンに由来しています。「修正する」「修正方法」「今すぐ修正する」「問題を解決する」などのテキストを使用すると、ユーザーは簡単な解決策を適用しているかのような印象を与えますが、実際にはマルウェアをダウンロードするスクリプトをコピーして起動していることになります。
ClickFix攻撃の仕組みを段階的に解説
さまざまなバリエーションがありますが、ほぼすべての ClickFix 攻撃は共通のシーケンスに従います。 これは、侵害された Web サイト、悪意のある JavaScript スクリプト、およびコードを実行するためのユーザーによる「強制的な」介入を組み合わせたものです。
通常、最初のステップは、侵害された正当な Web サイトまたは直接悪意のあるページにアクセスすることです。被害者は、フィッシング メール内のリンク、操作された検索エンジンの結果 (悪意のある SEO)、悪意のある広告、さらには有料ソフトウェアを有効化するためのトリックを盛り込んだ TikTok や YouTube の動画から、この Web サイトにアクセスします。
そのページには、技術的な問題をシミュレートする偽の警告または検証が表示されます。: ドキュメントの読み込みエラー、ブラウザの更新失敗、Google Meet/Zoom のマイクまたはカメラの問題、または Cloudflare や reCAPTCHA などのボット対策チェックにより、何かが「修正」されない限り続行できなくなる。
ユーザーが「正しい」ボタンを押すか、「私は人間です」のボックスにチェックを入れるとすぐにJavaScript スクリプトは、悪意のあるコマンド(通常は難読化された PowerShell または MSHTA コマンド)をクリップボードに自動的に挿入し、リモート サーバーから別のマルウェアをダウンロードします。
ウェブサイトには、被害者がそのコマンドを実行するための詳細なガイドが表示されます。たとえば、次のようになり
- 「修正する」ボタンをクリックして「解決コードをコピー」します.
- Win+Rキーを押して実行ウィンドウを開きます Windowsの場合。
- Ctrl+V を押すとクリップボードの内容を貼り付けることができます (悪意のあるコマンド)。
- Enterキーを押して「問題を修正」するか、検証を続行してください.
より高度なバリエーションでは、Win+Xまたはブラウザコンソールでトリックを実行します。ユーザーは、クイック メニュー (Win+X) から管理者権限で PowerShell ターミナルを開くか、ブラウザー コンソール (F12 または Ctrl+Shift+I) を使用して、そこに JavaScript コード ブロックまたは「検証」関数を貼り付けるように指示されます。
コマンドが実行されると、残りの感染がバックグラウンドで進行します。このスクリプトは、コマンド アンド コントロール (C2) サーバーから他の部分をダウンロードし、ファイルを解凍し、サイドローディングによって悪意のある DLL を実行し、最終的にメモリまたはディスクにインフォスティーラーまたは RAT をインストールします。
ClickFixの検出が難しい理由
攻撃者にとって ClickFix の大きな利点の 1 つは、従来のセキュリティ障壁の多くを回避できることです。感染の連鎖は、ダウンロードしたファイルや従来のエクスプロイトからではなく、ユーザー自身から始まるように見えるためです。
必ずしも疑わしい添付ファイルやブラウザから直接ダウンロードされた実行可能ファイルがあるわけではありません。つまり、多くの電子メール フィルター、ダウンロード ブロッカー、URL レピュテーション チェックでは、最初の段階では明らかに悪意のあるものが検出されません。
コマンドは、PowerShell、cmd.exe、ブラウザ コンソールなどのシステムの「信頼できるシェル」から実行されます。これにより、マルウェアは正当なアクティビティであるかのような印象を与え、シグネチャベースのウイルス対策プログラムや、動作分析があまり得意ではない一部のセキュリティ ソリューションの動作が複雑になります。
セキュリティ製品は通常、ペイロードが実行された後に脅威を検出します。 または、保護されたプロセスへの統合、ホスト ファイルなどの重要なファイルの変更、永続性の確立、C2 サーバーとの通信を試行します。つまり、エクスプロイト後のフェーズです。
その時までには、攻撃者はシステムへの重要なアクセス権を取得している可能性があります。権限の昇格、資格情報の盗難、企業ネットワーク内での横方向の移動、さらにはウイルス対策やその他の防御層の無効化の試みなどです。
ClickFixが実際に見られる場所:一般的なチャネルとルアー
さまざまなセキュリティ研究所の調査により、ClickFixが幅広いキャンペーンで使用されていることが判明しました。家庭ユーザーと重要な分野の企業の両方を対象としています。
攻撃者はClickFixのルアーを展開するためにこれらのチャネルを利用することが多い:
- 正当なウェブサイトが侵害されたClearFake などの JavaScript フレームワークを挿入して、偽の更新や検証の通知を表示します。
- 悪質な広告(マルバタイジング)特に、偽のソフトウェアのダウンロード ページやブラウザ検証ページにリダイレクトするバナー広告やスポンサー広告です。
- YouTubeやTikTokのチュートリアルや動画ソフトウェアを有効化したり、プレミアム機能を無料でロック解除したりするためのトリックが含まれているとされています。
- ヘルプポータルを模倣した偽の技術サポートフォーラムやウェブサイトシステム エラーを修正するためのコマンドを実行することが「推奨」されます。
ラテンアメリカでは、公式ウェブサイトや大学のウェブサイトが侵害された事例がすでに報告されている。たとえば、チリのカトリック大学の産業工学部の Web サイトやペルーの警察住宅基金の Web サイトでは、訪問者に ClickFix フローが表示されるようになりました。
米国のセキュリティ機関は、ゲーム、PDFリーダー、Web3ブラウザ、メッセージングアプリを探しているユーザーを狙ったキャンペーンについて警告している。これらはすべて、日常的な検索を利用して ClickFix を実装したページにリダイレクトすることによって行われます。
また、Google Meet、Zoom、DocuSign、Okta、Facebook、または Cloudflare のページを悪用するキャンペーンも確認されています。ブラウザ エラーまたは CAPTCHA 検証が表示され、ユーザーはコマンドのコピーと実行のシーケンスを実行する必要があります。
ClickFixで配布される最も一般的なマルウェア
ClickFixが攻撃の唯一の手段となることは滅多にないこれは通常、さまざまなマルウェアによる多段階の感染チェーンの展開を可能にする単なる最初のベクトルです。
最近のキャンペーンで最も目立った家族の中には、:
- Vidar、Lumma、Stealc、Danabot、Atomic Stealer、Odyssey Stealerなどのインフォスティーラーブラウザの認証情報、Cookie、自動入力データ、暗号通貨ウォレット、VPN および FTP の認証情報などを盗むことに特化しています。
- NetSupport RATやARECHCLIENT2(SectopRAT)などのRAT(リモートアクセス型トロイの木馬)これにより、攻撃者はシステムを制御し、コマンドを実行し、情報を盗み出し、ランサムウェアなどの後続のフェーズを開始できるようになります。
- GHOSTPULSE、Latrodectus、ClearFakeなどの高度なローダーこれらは接着剤のような役割を果たし、多くの場合、非常に複雑な難読化と暗号化の層を伴って、後続のピースをダウンロードし、復号化し、メモリに読み込みます。
- 金融情報や企業情報を盗むためのツールフォーム、電子メール クライアント、メッセージング、ビジネス アプリケーションからデータを抽出します。
2024 年と 2025 年に活発に行われたキャンペーンでは、ClickFix が複雑なチェーンに餌を与えていることが確認されています。たとえば、PowerShell を起動する ClickFix デコイは、正当な実行可能ファイル (Java の jp2launcher.exe など) と悪意のある DLL を含む ZIP ファイルをダウンロードし、サイドローディングによってコンピューター上で NetSupport RAT を実行することになります。
もう一つのよくあるケースは、iploggercoのようなドメインへの難読化されたURLでMSHTAを使用することです。これは、正規の IP 短縮サービスや登録サービスを模倣したもので、そこから Base64 でエンコードされた PowerShell スクリプトがダウンロードされ、最終的に Lumma Stealer ステージャーなどのプログラムがリリースされます。
ClickFix の実際のケーススタディと注目のキャンペーン
複数のインシデント対応チームとセキュリティラボからの報告では、複数の非常に活発なキャンペーンが確認されている。 ClickFix をエントリ ポイントとして中心に据えています。
ビジネス分野では、次のような分野で顕著な影響が見られています。 先端技術、金融サービス、製造、小売・卸売業、公共行政、専門・法律サービス、エネルギー・公益事業など、多岐にわたります。
2025年5月の攻撃では、攻撃者はClickFixを使用してNetSupport RATを展開しました。 DocuSign と Okta を装った偽のページを通じて、ClearFake フレームワークに関連するインフラストラクチャを利用して、クリップボードを操作する JavaScript を挿入します。
2025 年の 3 月から 4 月にかけて、Latrodectus ファミリーによって制御されるドメインへのトラフィックの増加が記録されました。は、初期アクセス手法として ClickFix を使用し始めました。侵害されたポータルが偽の検証にリダイレクトされ、被害者は Win+R から PowerShell を実行し、これにより悪意のある DLL libcef.dll をドロップする MSI がダウンロードされました。
同時に、Lumma Stealer にリンクされたタイポスクワッティング キャンペーンも検出されました。これらの攻撃では、被害者は iplogger を模倣したドメインを指す MSHTA コマンドを実行するように求められました。これらのコマンドは、高度に難読化された PowerShell スクリプトをダウンロードし、最終的に PartyContinued.exe などの実行ファイルや CAB コンテンツ (Boat.pst) を含むパッケージを解凍して、Lumma の最終バージョンを起動する AutoIt スクリプト エンジンを設定しました。
Elastic Security Labsは、ClickFixがGHOSTPULSEの最初のフックとして機能するキャンペーンについても説明している。次に、中間 .NET ローダーをロードし、最終的に ARECHCLIENT2 をメモリに挿入して、フックと高度な難読化によって AMSI などのメカニズムを回避します。
エンドユーザー分野では、いくつかのベンダーがClickFix攻撃の簡略化された例を示している。 この攻撃では、「ブラウザ更新」ページまたは偽の CAPTCHA によってスクリプトがクリップボードに静かにコピーされ、その後、ユーザーに管理者権限で PowerShell に貼り付けるよう強制します。これにより、C2 インフラストラクチャへの接続が容易になり、システムを変更する実行可能ファイルをダウンロードしやすくなります。
特に心配な現象は、TikTok への ClickFix の登場です。AI で生成されたビデオでも、Office、Spotify Premium、編集プログラムの無料有料版をアクティブ化する「簡単な方法」を宣伝していますが、実際には、Vidar や Stealc などのインフォスティーラーをインストールする悪意のあるコマンドをコピーして貼り付けるようにユーザーを誘導しています。
アナリストがClickFix感染を検出する方法
ユーザーにとっては黒魔術のように見えるかもしれませんが、ClickFix 感染は技術的な痕跡を残します。 脅威ハンティング チームと EDR がインシデントの検出に使用できます。
Windows 環境では、分析ポイントの 1 つは RunMRU レジストリ キーです。実行ウィンドウ (Win+R) から最近実行したコマンドを保存します。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
アナリストはこれらのエントリをレビューして疑わしいパターンを探します。: 難読化されたコマンド、通常とは異なる URL での PowerShell または MSHTA の使用、不明なドメインへの呼び出し、または通常のユーザーが通常は使用しない管理ツールへの参照。
攻撃者がWin+Xバリアント(クイックアクセスメニュー)を使用してPowerShellまたはコマンドプロンプトを起動する場合手がかりはプロセス テレメトリにあります。プロセス作成イベント (Windows セキュリティ ログの ID 4688 など) で、Win+X を押した直後に explorer.exe が powershell.exe を起動します。
%LocalAppData%\Microsoft\Windows\WinX\ フォルダへのアクセスや実行後の疑わしいネットワーク接続などの他のイベントとの相関関係これは、特に certutil.exe、mshta.exe、rundll32.exe などのプロセスが直後に表示される場合、ClickFix 感染の典型的な動作を概説するのに役立ちます。
もう一つの検出ベクトルはクリップボードの不正使用である高度な URL フィルタリングおよび DNS セキュリティ ソリューションは、クリップボード バッファーに悪意のあるコマンドを挿入しようとする JavaScript を識別し、ユーザーがシーケンスを完了する前にページをブロックすることができます。
攻撃者は ClickFix 技術を使って何を実現しようとしているのでしょうか?
こうしたソーシャル エンジニアリングの背後には、盗まれた情報から経済的利益を得るという明確な目的があります。個人ユーザーと組織の両方から。
ClickFix を通じて展開されるインフォスティーラーは、資格情報、Cookie、機密データを収集するように設計されています。 ブラウザ、電子メール クライアント、企業アプリケーション、暗号通貨ウォレット、および社内文書や財務データに保存されます。
その材料を使って、悪意のある行為者は複数の犯罪行為を実行することができる。:
- 恐喝企業組織またはその顧客に関する機密情報を漏洩すると脅迫する。
- 直接的な金融詐欺を犯す 侵害された銀行口座、オンライン決済システム、または暗号通貨ウォレットを悪用することにより。
- 会社またはその従業員になりすますこと 典型的な CEO 詐欺や BEC 攻撃など、第三者に対して詐欺を実行するため。
- ダークウェブで認証情報とデータパッケージを販売する 他の犯罪グループが将来の攻撃に利用する可能性がある。
- 産業スパイや地政学的スパイ活動を行う ターゲットが特定の組織または戦略的なセクターである場合。
記録されている多くの攻撃では、ClickFixはより大規模な攻撃への第一歩に過ぎなかった。を含む ランサムウェアの展開 資格情報の盗難、企業ネットワークへの長期アクセス、または侵害されたインフラストラクチャを他の目的への踏み台として使用した後。
ユーザーや企業は ClickFix からどのように身を守ることができますか?
ClickFix に対する防御には、テクノロジー、ベスト プラクティス、そして十分な認識が組み合わされます。なぜなら、この技術が悪用する弱点はまさにユーザーの行動だからです。
個人レベルでは、いくつかの非常に単純な黄金律がある 転倒のリスクを大幅に軽減します。
- ウェブサイトに求められたからといって、コードをコンソール (PowerShell、cmd、ターミナル、ブラウザ コンソール) に貼り付けないでください。それがいかに正当に見えても。
- Cloudflare の検証、CAPTCHA、または奇妙な手順を要求する「ブラウザ更新」ページには注意してください。 ボックスやボタンをクリックする以上のものです。
- ブラウザ、オペレーティングシステム、アプリケーションを常に最新の状態に保ってくださいランダムなバナーやポップアップではなく、公式ソースからパッチをインストールします。
- 重要なアカウントで2要素認証(2FA)を有効にする攻撃者がパスワードを盗んだとしても、攻撃が困難になるようにします。
企業環境では、これらの推奨事項に加えて、企業はさらに一歩進む必要があります。 ClickFix をセキュリティ戦略内の特定の脅威として対処します。
組織にとって重要な対策としては、:
- コマンド実行ツール(PowerShell、cmd、MSHTA)の使用を制限する グループ ポリシー、アプリケーション制御リスト、または EDR 構成を通じて、技術プロファイルのみがそれらを使用し、アクティビティを常にログに記録するようになります。
- 最新のマルウェア対策およびEDRソリューションを実装する 動作ベースの検出機能により、ユーザーが介入した場合でも疑わしい実行パターンを識別できます。
- 評判の悪いドメインへのネットワークトラフィックとアウトバウンド接続を監視する特に、URL 短縮サービス、新規登録ドメイン、珍しい TLD に対して注意が必要です。
- RunMRU、PowerShell ログ、セキュリティ イベントなどの成果物を定期的に確認します。 Win+R、Win+X、または管理コンソールの不正使用の兆候を検出します。
基本的な柱は、スタッフの継続的かつ現実的なトレーニングである。理論的なコースだけでは不十分です。ClickFix タイプのキャンペーン、CEO 詐欺、高度なフィッシング、マルバタイジングなどをシミュレートする、制御されたソーシャル エンジニアリング テストを実行することが有用です。
これらのシミュレーションにより、これらの技術に関する労働力の成熟度を測定することができます。認識戦略を調整し、リスクの高い領域を特定し、Web サイトや電子メールで疑わしい指示に従う前に「立ち止まって考える」という文化を強化します。
さらに、企業がインシデントに迅速に対応できるように準備しておくことが重要です。: ClickFix の可能性のあるケースやその他の侵害ベクトルが検出された場合に備えて、明確な対応計画、専門のチームまたはプロバイダー、および明確に定義された封じ込めおよび根絶のプロセスを用意します。
ClickFix 技術の普及により、攻撃者がユーザーを無意識のうちに共犯者にする非常に効果的な方法を見つけたことが明らかになっています。そして、彼らはそれを洗練されたマルウェア、動的な C2 インフラストラクチャ、ソーシャル ネットワークや検索エンジンでの大規模なキャンペーンと組み合わせることを躊躇しません。その仕組みを理解し、そのシグナルを認識し、テクノロジーとユーザー教育の両方を強化することで、今日、深刻な侵害を受けるか、攻撃を時間内に阻止するかの違いが生じます。
