ClickFix(クリックフィックス)の実像をMicrosoftが発表-新手のサイバー攻撃の実態とは

Microsoftの脅威分析チームは、ここ一年で「ClickFix」と呼ばれる手口が急速に広がり、企業端末から個人PCまで日々数千台規模で狙われていると指摘しています。表向きは不具合の修復やCAPTCHAの確認といった“よくある操作”を装い、

利用者自身にWindowsの［Win＋R］（Runダイアログ）やPowerShell、ターミナルへコマンドを貼り付けて実行させるのが核となる仕組みです。

最終的に侵入するのは、Lumma Stealerのような情報窃取マルウェア、Xworm／AsyncRAT／NetSupportなどの遠隔操作ツール、LatrodectusやMintsLoaderといったローダー、改造r77系のルートキットまで幅広く、WindowsだけでなくmacOSを狙う亜種も確認されています。

ClickFixとは何か

ClickFixとは、利用者の「小さな不具合を自力で直したい」という心理を突くソーシャルエンジニアリング攻撃です。

画面上には“人間である確認”“や”“修復手順はこちら”といった見慣れたガイダンスが出ます。

ボタンを押すと、背後で悪性コマンドがクリップボードへ自動コピーされ、次に開かせたRunダイアログやPowerShellへ貼り付けさせます。

実行後は、msbuild.exe、regasm.exe、powershell.exe、rundll32.exeといった標準バイナリ（LOLBins）を足場に、ファイルレスでコードをメモリ展開することが多く、ディスク上の痕跡が薄くなるのが厄介です。

典型的な攻撃の流れ

攻撃は、フィッシングメール、悪性広告（マルバタイジング）、改ざんサイトなどから偽のランディングページへ誘導するところから始まります。

ページはCloudflare TurnstileやreCAPTCHA、Office画面、Discord参加画面などを巧妙に模倣し、クリックした瞬間にnavigator.clipboard.writeText()でコマンドをコピーします。

以下は米国の社会保険庁を装ったフィッシングページです。以下では偽のCAPTCHA が表示されますが当然エラーになります。

その後Windows＋Rでコマンドを開かせ指定のPowerShellをコピーペーストさせ実行させます。

画像：Microsoft 脅威分析チーム

利用者がコマンドを実行すると第1段のスクリプトが落ち、追加のスクリプトやDLLを取得・実行し、情報窃取や遠隔操作、永続化へ進みます。

入口の多様化：メール、広告、改ざんサイト

支払い・請求書を装うメールが相変わらず主流ですが、近ごろは本文のURLから直接ClickFixページへ飛ばす作りが目立ちます。

前段の米国の社会保障庁（SSA）を騙る事例では、Google広告のリダイレクトを挟んで偽サイトへ導き、最終的にScreenConnectの導入まで運ぶ手口が確認されました。

無料動画サイトでは再生ボタンを押すと別タブでClickFixページを開き、Lumma Stealerに接続するケースもあります。WordPress改ざんなどで正規ドメイン上に偽の人間確認を表示し、Cloudflare風の画面で信用させるやり方も使われています。

画面の作りと裏側のからくり

ページの見た目は精巧ですが、狙いは「ユーザーの手でコマンドを走らせる」一点です。

非表示のiframeがpostMessage("trigger")で合図を送り、親フレームが受け取ったタイミングでコマンドをクリップボードに載せる実装が典型的です。

画像：Microsoft 脅威分析チーム

Discordの参加画面を模すページでは、ボタンのclickイベントに合わせてコピーするだけの簡易版もあります。

コードは難読化され、CSSやスクリプトを外部から分割読み込みするなど、検知の目をかいくぐる工夫が重ねられています。

実行後に残る痕跡と読み解き方

Runダイアログで実行された履歴は、レジストリのRunMRUに残ります。

画像：Microsoft 脅威分析チーム

powershell、mshta、curl、msiexec、wscriptなどの文字列、短縮URLや珍しいTLD（.live / .shop / .icuなど）、二重拡張子、Invoke-WebRequest／Invoke-RestMethod／iex／Base64デコードといったパターンは要注意です。PowerShellのスクリプトブロックロギングを有効化していれば、難読化や分割連結されたコマンドでも実行内容の復元に役立ちます。

macOSも標的に：AMOSの配布

2025年初夏には、米Spectrumを名乗るClickFixがmacOS向けにAtomic macOS Stealer（AMOS）を配布していることが確認されました。

偽CAPTCHAの裏で、macOSには別のコマンドを出し分け、whoamiでユーザー名を取得、ディレクトリサービスでパスワードを検証し、/tmpに保存してからダウンロードした実行ファイルの隔離属性を外して起動します。ブラウザのCookieやパスワード、暗号資産ウォレットなどが狙われます。

闇市場での“即戦力化”

「Win+Rビルダー」などのClickFix生成ツールが闇市場で出回り、月額200～1,500ドル程度で販売されています。

CloudflareやGoogleのテンプレート、PDFデコイ表示、VM回避、UAC回避、言語切替といった機能をGUIで組み合わせ、ランディングページとコマンドをワンストップで作れます。ランディングだけ、コマンドだけの単品販売もあり、参入障壁は低下の一途です。

企業・個人への影響

最終ペイロードは情報窃取、遠隔操作、追加感染、深い永続化に及び、業務アカウントの乗っ取りやクラウド資産の流出、端末群への横展開を招きます。Windows／macOSの双方で成立し、メール・Web・広告のどこからでも入ってくるため、入口での遮断と、利用者側の“貼り付けない・実行しない”行動規範が同じくらい重要になります。

検知と防御の考え方

入口対策では、メールのURL再検査、HTML添付のサンドボックス解析、WebフィルタとSmartScreenの併用、ネットワーク保護での新規悪性ドメイン早期ブロックが効果的です。

端末側では、Runダイアログの利用を業務上不要なら無効化し、Windows Terminalは複数行貼り付け時の警告を出す設定にします。PowerShellはAllSigned／RemoteSignedなどの実行ポリシーで締め、攻撃面削減（ASR）ルールで難読化スクリプトの実行、JS/VBS経由のEXE起動、普及度の低い実行ファイルの起動を抑制します。

監視ではRunMRU、PowerShellスクリプトブロック、msbuild.exeやregasm.exeなどLOLBinsの不審な起動、短時間に連続するDNSクエリや短縮URLの解決、偽CAPTCHAページへの遷移を継続的に拾います。ネットワーク保護を有効化していれば、収集したClickFixコマンド群から新出ドメインを抽出・ブロックする運用も可能です。

現場で役立つ最小実装チェックリスト

1. 研修・周知
   ・「修復」や「人間確認」を理由にRunやPowerShellへ貼り付けさせる指示は扱わない、を全社標準にします。
   ・貼り付け前に“何を実行するのか”を確認し、不明ならCSIRTへエスカレーションする運用を徹底します。

2. 端末ハードニング
   ・Run（Win＋R）の無効化、StartメニューからのRun削除。
   ・PowerShell実行ポリシー（AllSigned／RemoteSigned）、スクリプトブロックロギングの有効化。
   ・ASRルールで難読化スクリプト、JS/VBS→EXE起動、低普及EXEの実行をブロック。
   ・Windows Terminalの複数行貼付け警告、AppControlでRun経由のLOLBins起動を制限。

3. メール・Web・ネットワーク
   ・URL再検査（クリック時再評価）、HTML添付の動的解析。
   ・SmartScreen／Webフィルタの併用、ネットワーク保護で新規悪性ドメインの早期遮断。

4. ログとハンティング
   ・RunMRU、PowerShell、スケジューラ、rundll32の起動履歴を定期点検。
   ・LOLBinsの親子関係（explorer.exe→powershell.exe 直起動など）をアラート化。
   ・短縮URL・珍しいTLD・二重拡張子・Base64文字列を含む実行コマンドの検出ルール整備。

まとめ

ClickFixは、正規の“確認”“修復”という顔をかぶり、利用者の手で攻撃を完了させます。だからこそ、技術的なブロックだけでは穴が残りがちです。入口で止める仕組み、端末で実行させない設定、そして「貼り付けない・実行しない」を徹底する教育。この三本柱を同時に回すことで初めて、日々形を変えるClickFixに現実的に対抗できます。攻撃側は、偽のCAPTCHAや広告、正規サイトの改ざんなど、入口の多様化をやめません。組織としては、RunMRUとPowerShellの記録を定点観測し、見慣れないコマンドが紛れ込んだ瞬間に気づける体制を保ち続けることが、最も確実な抑止力になります。