1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. ClickFix(クリックフィックス)とは?対策や実態を株式会社ラックへ聞く

ClickFix(クリックフィックス)とは?対策や実態を株式会社ラックへ聞く

セキュリティニュース

投稿日時: 更新日時:

ClickFix(クリックフィックス)とは?対策や実態を株式会社ラックへ聞く

ブラウザ上の偽CAPTCHA認証(キャプチャ認証)からWinRPowerShellの入力へと誘導し、最終的にマルウェアをダウンロードさせるサイバー攻撃 「ClickFix(クリックフィックス)」が拡大しています。

この手法についてJSOC®(ジェイソック)で脅威情報を独自に収集し、日本国内で早期注意喚起されていた株式会社ラックにClickFixの概要やどういった攻撃手法なのか、対策などをお聞きしました。

インタビューに答えていただいた方のプロフィール

株式会社ラック

コンサルティング統括部 インシデントマネジメントグループ グループマネジャー

髙源 武彦氏

 

JSOC MSSアナリシスグループ セキュリティアナリスト

吉田 成那氏

※ご所属・肩書、2025917日掲載時点

ClickFix(クリックフィックス)とは?

──ClickFixとはどういったものでしょうか?

吉田氏 CAPTCHA認証(キャプチャ認証)は本来、ロボットではなく人間であることを確認するための仕組みですが、ClickFixはその仕組みを装う手法です。

吉田氏 具体的には偽のCAPTCHA認証などの認証画面を装って、ユーザーに「Windowsキー+R」や「CTRLC」などのショートカットキーを押させ、悪意のあるコードやPowerShellを実行させ、最終的にインフォスティーラー(情報窃取型マルウェア)をダウロードさせる比較的新しいソーシャルエンジニアリングの手法です。

ClickFix(クリックフィックス)とは?

画像:インタビューの内容からセキュリティ対策Labが作成

 

吉田氏

弊社では2024年10月以降から検知し、2025年5月のブログでも注意喚起させていただきました。

 

髙源氏 ソーシャルエンジニアリングの手法は過去から用いられています。ClickFixの派生元と報告されているClearFake(クリアフェイク)はさらに202410月よりも前から検知しています。ClickFixは、様々なサイトやフィッシングメールから誘導されているケースが確認できています。

 

髙源氏 弊社で観測した事例では様々なサイト(例:動画変換サイトや学習サイト、海賊アニメサイトなど)の広告画面で、フィッシングメールは、観光業へのメール内からの誘導が確認されています。

観光や小売業などの接客業はどうしても顧客とのやりとりで、メールを開かざるを得えないのでメールでの誘導が行われています。

実際8月の弊社ブログでも観光業向けの注意喚起をさせていただきました。

髙源氏 また、現在のところAPTグループなどが行う標的型攻撃での利用は確認していません。

 

補足:CAPTCHA認証(キャプチャ認証):「私はロボットではありません」などの認証画面。

DDoS攻撃、サイトの自動クロールや転売目的の自動操作Botを除外する為に利用される。

どういった方が被害に遭うのか

──どういった方が被害に遭うのでしょうか?いわゆるリテラシーが低い方なのでしょうか?

吉田氏 リテラシーというよりは、こういったサイバー攻撃の手法自体を知らない方が被害に遭っています。その為、周知していくことがこのサイバー攻撃手法への対策になります。

攻撃者の目的

──攻撃者がマルウェアやインフォスティーラーをインストールさせる目的は何でしょうか?

髙源氏 主に金銭的な目的ですね。インフォスティーラーは暗号資産の窃取やVPN情報の窃取、観光業向けの攻撃では予約管理システムのアカウント情報窃取などです。また、窃取した情報の売買なども行われます。

なぜClickFixが活用され始めたのか

──なぜClickFixが活用され始めたのでしょうか?

髙源氏 例えば10年前のAnglerエクスプロイトキットはブラウザの脆弱性を悪用するものでした。しかしブラウザやOS側のセキュリティ対策が向上しこれらの脆弱性を突破しにくくなりました。

髙源氏 また、ClickFix以外にも過去から複数のソーシャルエンジニアリング手法は確認されていたのですがエンドポイント側で対策が進んだ為、Windowsの通常機能を悪用できるClickFixが流行しているのだと思います。

ユーザーへコマンド実行させる疑似のサイバー攻撃

──ClickFixと似た手法でTikTok上でもPowerShellコマンドを実行させる攻撃が確認されていますが、疑似のサイバー攻撃はありますか?

吉田氏 そうですね、TikTokSNSWindowsのアクティベーションやその他サブスクリプションを無料で利用できる方法と偽り、ユーザーにPowerShell指定のコマンドを実行させる手法も確認されています。

 

ユーザーへコマンド実行させる疑似のサイバー攻撃

画像:インタビューの内容からセキュリティ対策Labが作成

ClickFixの対策:手法のそのものの周知

──この手法には何が対策になりますか?

吉田氏 コマンド実行の方法は今後多様化してくると思います。
その為、この攻撃手法を社内や個人共に認知/周知する事が大事だと思います。

 

髙源氏 可用性は低下しますが組織ではユーザーのショートカットの利用制限や禁止といった対策もあります。サポート詐欺などはずいぶん世間に認知され始めていますが、ClickFixはまだ世間的な認知度が進んでおらず、なんとなく実行される方もいると思います。吉田が言った通りまずは周知する事が必要だと思います。

謝辞

本取材にあたり、株式会社ラック コンサルティング統括部 インシデントマネジメントグループ 髙源様、JSOC MSSアナリシスグループ吉田様より、ClickFixの国内動向と実務的な対策について貴重な知見をご提供いただきました。また、同広報部の飯村様にも早急にインタビュー調整を頂きました。

皆様多忙の中ご協力いただき、心より御礼申し上げます。

なお、本記事の編集方針・記述の最終的な責任は合同会社ロケットボーイズ(セキュリティ対策Lab)にあります。

 

関連記事

ClickFix(クリックフィックス)の実像をMicrosoftが発表-人間確認を装ってコマンド実行を誘う新手のソーシャルエンジニアリングClickFix(クリックフィックス)の実像をMicrosoftが発表-新手のサイバー攻撃の実態とは サイバー攻撃の手法 ClickFix(クリックフィックス)とは?特徴や攻撃の流れ 対策を解説ClickFix(クリックフィックス)とは?特徴や攻撃の流れ 対策を解説 国家支援ハッカーがサイバー攻撃に「ClickFix」を採用-新たなソーシャルエンジニアリング 手法の解説国家支援 ハッカーがサイバー攻撃に「ClickFix」を採用-新たなソーシャルエンジニアリング 手法の解説 Booking.comに偽装した「ClickFix」によるサイバー攻撃、ホテル業界を標的にBooking.comに偽装した「ClickFix」によるサイバー攻撃、ホテル/宿泊 業界を標的に ClickFixの被害企業が発生-LAC発表サイバー攻撃の新手法「ClickFix」の被害企業が発生-LAC発表 TikTokで「無料アクティベーション」を装うClickFix(クリックフィックス)が拡大-マルウェアをインストールさせるサイバー攻撃TikTokで「無料アクティベーション」を装うClickFix(クリックフィックス)が拡大-マルウェアをインストールさせるサイバー攻撃 Discordの招待リンクの脆弱性をハッカーがサイバー攻撃へ悪用Discordの招待リンクの脆弱性をハッカーがサイバー攻撃に悪用 FileFix(ファイルフィックス)を活用した本格的なサイバー攻撃 キャンペーンが観測されるFileFix(ファイルフィックス)を活用した本格的なサイバー攻撃 キャンペーンが観測される Qilinのアサヒへのサイバー攻撃の犯行声明アサヒグループホールディングスへのサイバー攻撃、ランサムウェア グループ Qilinが不正アクセスを主張