サイバー攻撃の新手法、ClickFix(クリックフィックス)は2024年から急増しました。2025年11月6日に公開されたPush の記事ではこのClickFixがより進化している事が示唆されています。
ポイント
-
コピペ実行を誘導するソーシャルエンジニアリング「ClickFix」が急増。
-
偽物のCloudflare検証ページなど、完成度の高い誘導サイトが登場。
-
拡散はメールより検索結果(SEO汚染/広告)経由が主流。観測例の約8割がGoogle検索経由。
-
EDRが最後の砦になりがちで、BYODの未管理端末は特に穴になりやすい。
-
Microsoftによれば、過去1年の初期侵入の47%がClickFix起点。
ClickFix(クリックフィックス)とは
ClickFixは、ユーザーをだましてターミナルや実行ダイアログにコマンドを貼り付けさせるソーシャルエンジニアリング攻撃。怪しげな添付や認証窃取ではなく、正当な手順の確認作業を装って自分の手で実行させます。ここ1年で事例が急増し、攻撃者の常套手段になりました。
本物と見分けがつかない偽のBotチェックページ
最先端のClickFixはCloudflareのBotチェックを騙る偽ページで埋め込み動画を用いて手順を丁寧に指南し
カウントダウンや「直近1時間の検証件数」でユーザーへ早期入力を促します。
また、端末判定でOS別の指示を自動表示しJSで悪性コードをクリップボードへ自動コピーさせます。
ClickFixはメールゲートを素通りし、非メール経路の監視ギャップを突きます。クリップボード操作はブラウザのサンドボックス内で行われ、従来のネットワーク監視からも見えにくいのが実情です。また、BYODなどの管理外端末はEDR非搭載が多く、完全に検知する事もできません。
一般的に怪しいサイトでID・PWは入れるなは浸透しても、「コマンドを開いて貼るな」まではセキュリティ教育で啓発されていない為、未だに被害者が発生します。
また、動画+ClickFixページ誘導はTikTokでも確認されており、有名なソフトウェアのお手軽なアクティベーションと解説し、偽の認証ページへ誘導しコマンドを実行させるキャンペーンも確認されています。
検索が最大の流入路
観測できたClickFixの約80%がGoogle検索経由。
手法は、自前サイト量産で狙ったワードの上位を取るSEO汚染や脆弱なCMSやホスティングを行ってサイト乗っ取たり、
広告を出稿して誘導マルバタイジングキャンペーンも確認されています。
ペイロードも多様化
代表格はPowerShellやmshtaですが、近年はOS標準バイナリ(LOLBIN)悪用が拡大。さらに、JPGに見せかけたファイルをブラウザにキャッシュさせ、ローカルで実行する技法も出ています。ネットワーク通信に依らないため、プロキシやシグネチャを空振りさせます。
流れが進むと、ブラウザ内で完結してEDRをすり抜ける攻撃に向かう可能性もあります。
対策
ブラウザ×EDRの二層防御へ。
-
ブラウザ内の悪性コピペを検知・遮断
フィッシングルアーの見た目や配信経路、マルウェア種別に依らない普遍的な抑止。 -
ユーザー体験を壊さない
DLPのように全面コピー禁止ではなく、悪性パターンだけ精密にブロック。 -
EDRの負荷を軽減
ブラウザ段階で未然に止めることで、EDRに流れ込む攻撃が減り、取りこぼしと運用コストを抑えられます。
参照
The most advanced ClickFix yet?
関連記事
ClickFix(クリックフィックス)とは?対策や実態を株式会社ラックへ聞く
ClickFix(クリックフィックス)の実像をMicrosoftが発表-新手のサイバー攻撃の実態とは
ClickFix(クリックフィックス)とは?特徴や攻撃の流れ 対策を解説
国家支援 ハッカーがサイバー攻撃に「ClickFix」を採用-新たなソーシャルエンジニアリング 手法の解説
Booking.comに偽装した「ClickFix」によるサイバー攻撃、ホテル/宿泊 業界を標的に
サイバー攻撃の新手法「ClickFix」の被害企業が発生-LAC発表
TikTokで「無料アクティベーション」を装うClickFix(クリックフィックス)が拡大-マルウェアをインストールさせるサイバー攻撃
偽のWindows Updateへ誘導するClickFix(クリックフィックス)を確認
ハッカーがPHPの脆弱性を悪用し、日本を標的にサイバー攻撃を実行(CVE-2024-4577)
