2025年10月以降、海外で「ClickFix」と呼ばれるソーシャルエンジニアリング手法を悪用した攻撃が活発化し、LummaC2やRhadamanthysといった情報窃取型マルウェア(インフォスティーラー)が配布されていることが報告されています。
Huntressの調査で新しく確認されたキャンペーンの特徴は大きく二つあります。1つは偽のWindows Updateへ誘導する事、2つ目は最終的なマルウェアが、PNG画像のピクセル情報の中にステガノグラフィ(電子的な隠しメッセージ)として埋め込まれていることになっています
フルスクリーンの偽Windows Update画面
今回の亜種で特に厄介なのが、ブラウザをフルスクリーン表示にして見せる偽のWindows Update画面です。
-
背景色やフォント、アイコンなどが本物のWindows Update画面にそっくり
-
「更新プログラムを構成しています」「PCの電源を切らないでください」といったお決まりの文言を表示
-
進捗バーやパーセンテージ表示もアニメーション付きでそれらしく動く
一定時間「更新」が進んだ後、画面には次のような指示が表示されます。
-
「アップデート完了のため、キーボードで Win+R を押してください」
-
「表示されたウィンドウに、コピーされたコードを貼り付けてEnterを押してください」
実際には、この時点で悪意ある mshta コマンドがクリップボードにコピーされており、ユーザーはそれを実行させられています。
ブラウザがフルスクリーンだと、「これはWebページであって、OSネイティブの画面ではない」という事実に気付きにくいのが現場感覚としてもよく分かる部分です。
マルウェアはどこに隠れているのか:PNG画像とステガノグラフィ
今回のキャンペーンで特に特徴的なのは、最終的なマルウェア(インフォスティーラー)がPNG画像の中に隠されていることです。
一般的な手口では、ファイルの末尾に不審なデータを付け足すことがありますが、この攻撃ではより手の込んだ方法が使われています。
-
PNG画像のピクセルデータ(RGBやBGRAの各チャンネル)に、シェルコードを埋め込む
-
復号用のC#コードが画像を読み込み、各ピクセルの特定チャンネル値(たとえばR値)を順番に読み出す
-
255 - RやXOR演算などを行い、元のシェルコードのバイト列を再構築する
画像そのものは見た目に違和感がなく、人間の目ではほぼ判別不可能です。さらに、このPNG自体がAESで暗号化され、.NETアセンブリのリソースとして埋め込まれています。
結果として、
-
AES復号 → PNG画像
-
PNGのピクセルデータからステガノグラフィ復号 → シェルコード
という二重の隠蔽が行われており、従来のアンチウイルスソフトやEDRなどのシグネチャ検知では捕捉が難しくなっています。
対策
今回のClickFix攻撃は、入口は「Win+Rでコマンドを貼り付けてください」という非常に単純なソーシャルエンジニアリングで裏側では、PowerShell、.NET、ステガノグラフィ、Donutパッカーを組み合わせた高度な多段ローダー
という組み合わせで成り立っています。
脅威アクターのインフラの一部は法執行機関によって停止されていますが、同じClickFixの手口は今後も別のマルウェアと組み合わされて出てくると考えるべきです。情報システム部門としては、
-
mshta / PowerShellなどの利用制御
-
プロセスチェーン監視ルールの整備
-
RunMRUなどのアーティファクト確認を含めたインシデント対応手順の整備
-
「コマンド実行を要求するWeb画面は疑う」というユーザー教育
といった複数の防御策を組み合わせることで、ClickFix型攻撃のリスクを大きく低減できます。
参照








