ClickFixがAPI 駆動の配信基盤へ進化、AMSIを回避する新手口とWindows Terminalへの移行で証拠を残さない攻撃に

セキュリティニュース

投稿日時: 更新日時:

セキュリティ研究者のBert-Jan Pals氏は、実際に稼働中のClickFixキャンペーンから収集した約3,000件のペイロードを分析し、2026年6月上旬にOrangeConで発表、6月30日に詳細を公開しました。

当サイトではこれまで、ClickFixの基本的な手口と対策や、攻撃を自動化する犯罪ツールErrTrafficファイルアップロードのダイアログを悪用する亜種FileFixなど、ClickFixを巡る動向を継続的に取り上げてきましたが、今回のPals氏の調査は、この攻撃手法がさらに一段階、組織的かつ検知回避に長けた形へ進化していることを裏付けるものです。

サマリー

  • セキュリティ研究者Bert-Jan Pals氏が、実際に稼働中の複数のClickFix配信基盤から収集した約3,000件のペイロードを分析し、2026年6月30日に詳細を公開した
  • ClickFixの背後には、訪問者ごとに異なる難読化を施した同一のマルウェアを配布する、API駆動型のバックエンドサーバーが構築されていることが判明した。あらかじめ用意された1本のマルウェアを使い回すのではなく、訪問のたびにオンデマンドでペイロードが生成される仕組みになっている
  • クリップボードにコピーされる内容そのものを偽装し、Windowsのマルウェアスキャンインターフェース(AMSI)を回避する新しい配信手口も確認された。悪意あるコマンドそのものではなく、無害に見える「オーケストレーター」と呼ばれる短いコマンドだけをクリップボードにコピーし、実際のペイロードは別途Downloadsフォルダーへダウンロードさせておく仕組みになっている
  • 攻撃者が被害者に指示する操作先も進化しており、2024年当初の典型的な手口だったWin+RによるRunダイアログの利用から、Windows+Xで開くWindows Terminalへの誘導が増えている。Terminalの利用は一見通常の操作に見えるうえ、Runダイアログの利用時とは異なり、捜査担当者が通常確認するRunMRUというレジストリキーに痕跡が残らない
  • Pals氏はこの手法について、ClickFixは今後も定着し続けるだろうと結論づけており、防御側が対策を講じるたびに手口そのものが形を変えるという特性が、オンデマンドのペイロード配信サーバーへの移行によってさらに低コストで繰り返せるようになっていると指摘している
項目 内容
研究者 Bert-Jan Pals氏
発表 2026年6月上旬(OrangeCon)、詳細は6月30日公開
分析対象 実際に稼働中のClickFixキャンペーンから収集した約3,000件のペイロード
新たに判明した点1 API駆動型のバックエンドサーバーが訪問者ごとに異なる難読化を施した同一マルウェアをオンデマンドで生成・配布
新たに判明した点2 クリップボードには無害に見える「オーケストレーター」コマンドのみをコピーし、実ペイロードは別途ダウンロードさせることでAMSIのスキャンを回避
新たに判明した点3 Win+RのRunダイアログから、痕跡の残りにくいWindows Terminalへ誘導先が移行
フォレンジック上の影響 Windows Terminal経由の実行はRunMRUレジストリキーに痕跡を残さない

何が起きたか

ClickFixとは、偽のCAPTCHA認証やエラー画面を通じて、被害者自身にコマンドをコピー&ペーストで実行させるというシンプルな仕組みのソーシャルエンジニアリング攻撃です。

当サイトで既報の通り、この手法自体はすでに国家支援型のハッカーグループから一般のサイバー犯罪者まで幅広く採用されており、当サイト自身のFacebookビジネスページにも実際にこの手口を使ったフィッシングが届いたことがあります。Bert-Jan Pals氏の今回の調査は、この手法がもはや使い捨てのスクリプトを個別に用意する段階を超え、裏側の配信基盤そのものが組織的に整備されていることを明らかにしたものです。

関連:ClickFix(クリックフィックス)とは?対策や実態を株式会社ラックへ聞く

API駆動のバックエンドが訪問者ごとに異なる装いのマルウェアを配布

Pals氏が複数のClickFix配信プラットフォームを分解して分析した結果、明らかになったのが、クリップボードにコピーされる悪意あるコマンドが、API駆動型のサーバーによってその場で生成されているという実態です。

この仕組みにより、訪問者ごとに見た目の異なる、しかし機能としては同一のマルウェアが配布されることになり、ハッシュ値をもとにした検知や、既知の検体との照合による防御をすり抜けやすくなっています。Pals氏は、こうしたオンデマンドでのペイロード生成という商業化の深化を、単なるブランディングにとどまらない、実際の技術的な仕組みとして確認しています。

クリップボードの中身を偽装しAMSIをすり抜ける新手口

今回の調査でもう一つ注目すべきは、Windowsのマルウェア対策スキャンインターフェースであるAMSI(Antimalware Scan Interface)を回避するために設計された、新しい配信手口です。

AMSIは、PowerShellなどで実行されるスクリプトの内容を、実行前にセキュリティソフトが検査できるようにする仕組みですが、これまでのClickFixの多くは、悪意あるコマンドそのものをクリップボードにコピーさせていたため、この検査の対象になり得ました。

Pals氏が確認した新しい手口では、クリップボードにコピーされるのは、それ自体では無害に見える短い「オーケストレーター」と呼ばれるコマンドだけです。この間、Webページ側は裏で静かにファイルをDownloadsフォルダーへダウンロードしており、被害者が貼り付けて実行するオーケストレーターのコマンドは、このダウンロード済みのファイルを移動し、展開し、その中身を実行するだけの役割を担います。実際に貼り付けられるコマンドの一例としては、一時フォルダーへZIPファイルを移動し、tarコマンドで展開したうえで、その中のスクリプトを実行するという、複数のコマンドをセミコロンでつないだ短い一行が確認されています。

実際の悪意あるコードはダウンロード済みのファイル側に格納されているため、貼り付けられて実行される行そのものにはスキャン対象になるような不審な内容が含まれず、AMSIによる検査をすり抜けやすくなっています。

Runダイアログから証拠の残らないWindows Terminalへ

Pals氏はさらに、被害者を誘導する操作先そのものの変化も指摘しています。2024年に登場した当初のClickFixは、Win+Rキーを押してRunダイアログを開き、そこへコマンドを貼り付けさせるという手口が典型でした。

しかし2025年から2026年にかけて広まっている新しいバージョンでは、代わりにWindows+Xキーを押してWindows Terminalを開かせる手口が一般的になりつつあります。

この変化には実務上の意味があります。Terminalの利用は一般的な操作としてより自然に見えるという心理的な効果に加えて、Runダイアログの利用履歴はRunMRUというレジストリキーに記録として残り、インシデント対応の担当者が通常確認する痕跡の一つになっていますが、Terminal経由での実行はこのレジストリキーに記録を残しません。

攻撃者が被害者の誘導先を変えるだけで、事後の調査で見つかる証拠の量そのものが変わってしまうという点は、フォレンジック調査に携わる担当者にとって見過ごせない変化です。

なぜClickFixはここまで進化を続けるのか

ClickFixがこれほど進化を続けている背景には、当サイトが以前の記事でも指摘してきた通り、ユーザー自身の手でコマンドを実行させるという手法そのものの性質があります。

ファイルの配布や既知の脆弱性の悪用を伴わないため、従来型のセキュリティ対策の多くをすり抜けやすく、防御側が対策を講じるたびに、攻撃者側は誘導先や配信方法を少し変えるだけで新たな回避策を確立できてしまいます。

Pals氏の分析は、この適応のサイクルそのものがAPI駆動の配信基盤によってさらに安価かつ高速に回せるようになっていることを示しており、同氏はこの技術がこの先も定着し続けるという厳しい見立てを示しています。

情報システム部門への示唆

今回のPals氏の分析結果を踏まえると、ClickFix対策として、これまで案内してきたRunダイアログの無効化や利用者教育に加えて、Windows Terminalの利用状況についても監視対象に含める必要があります。具体的には、explorer.exeやブラウザプロセスから直接Windows Terminalが起動され、その直後に外部ネットワークへの通信やファイルの展開・実行が続くという一連の挙動を、EDR等で検知できるようルールを見直すことをお勧めします。RunMRUレジストリキーだけに依存した侵害調査では、Terminal経由の実行を見逃してしまう可能性がある点にも注意が必要です。

あわせて、クリップボードにコピーされる内容自体が無害に見えるよう偽装される手口が確認された以上、AMSIによるスクリプトスキャンだけに頼らず、ダウンロードフォルダーへの不審なファイルの出現や、ZIPファイルの展開後に短時間で実行される一連のプロセスチェーンを監視する、振る舞い検知の仕組みをあわせて導入することが重要です。当サイトで以前紹介した偽のWindows Update画面を使うClickFixの亜種でも触れた通り、ClickFix関連の脅威アクターのインフラが法執行機関によって一部停止されたとしても、同じ手口は形を変えながら別のマルウェアと組み合わされて繰り返し出現しています。特定のキャンペーンやIOCへの対処にとどまらず、ユーザーがコマンドを自らの手で実行させられるという、この攻撃手法の本質的な構造そのものへの警戒を、継続的な教育と技術的対策の両輪で維持することをお勧めします。

出典