1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. サイバー攻撃の新手法「ClickFix」の被害企業が発生-LAC発表

サイバー攻撃の新手法「ClickFix」の被害企業が発生-LAC発表

セキュリティニュース

投稿日時: 更新日時:

ClickFixの被害企業が発生-LAC発表

2025年5月19日、LACのSOC(セキュリティオペレーションセンター) JSOCが複数の顧客環境で「ClickFix(クリックフィックス)」と呼ばれる手法によるサイバーインシデントを確認し、注意喚起を発出しました。この手法は、ユーザーの心理を巧みに利用して自らにマルウェアを実行させるという新しいタイプのソーシャルエンジニアリング攻撃です。

ClickFixは、すでに国家支援型攻撃者グループ(北朝鮮、イラン、ロシア)にも採用されており、日本国内でも同様の被害が拡大する可能性が高まっています。

ClickFixとは何か?

ClickFixは、偽のエラー画面やアップデート通知、CAPTCHA認証を装ったページを使い、ユーザーに「コマンドをコピーして実行」させる攻撃手法です。実行された内容は通常、PowerShell経由で不審なスクリプトを取得・実行し、結果としてマルウェアに感染させます。

この手法の最大の特徴は、ユーザー自身の手で感染が完結する点にあります。ウイルスファイルのダウンロードや自動実行を伴わないため、エンドポイント製品では「ユーザーの意図的な操作」として見逃されやすい点が厄介です。

LACが確認した実態と手口

LACはClickFix攻撃の具体的な流れとして以下を報告しています

  1. CAPTCHA認証を偽装した画面にアクセス

  2. 「Windows+R」を押すように誘導

  3. コピー済みのPowerShellコマンドを貼り付け・実行させる

この手順により、端末のクリップボードに仕込まれたコマンドが実行され、最終的に「AutoIt」や「Lumma Stealer」などのマルウェアを感染させることが確認されています。

また、攻撃には画像拡張子(.png や .gif)を用いた難読化スクリプトが利用され、通信としても怪しまれにくいよう巧妙に偽装されています。

国家支援型アクターによる応用事例

ClickFixは、一般のサイバー犯罪グループから始まり、今や国家支援型アクターにまで拡散しています。2025年初頭のProofpointの報告によれば、以下の事例が確認されています。

北朝鮮(TA427)

  • 偽の大使からの招待状を装ったPDFでフィッシング

  • ClickFixを用いたPowerShell実行型マルウェア展開(QuasarRAT)

  • スケジュールタスクによる持続的侵入(Persistence)

イラン(TA450)

  • Microsoftを偽装した英語のメールを中東諸国へ送信

  • 指定手順でPowerShellを管理者権限で実行させる方式

  • 結果的にLevel RMMのような遠隔管理ツールをインストールさせる

ロシア(TA422・UNK_RemoteRogue)

  • Googleスプレッドシート風のフィッシングページでClickFix展開

  • CAPTCHAの後にSSHトンネルを開くPowerShellを表示

  • ZimbraメールサーバやEmpire C2など複数の技術を連携利用

ClickFixの痕跡と検知ポイント

EDRログや監視システムでのClickFixの痕跡は以下のような傾向があります

  • ユーザー操作に見えるPowerShellコマンドの実行履歴

  • 大量の変数定義を含む難読化スクリプト

  • AutoItの実行ファイル取得ログ

  • 外部ドメインへの不審なHTTPS通信

これらの痕跡は、「正常に見える」中に潜む異常として見逃されやすいため、行動分析型のEDR製品や、通信ベースでの検知が重要です。

情報システム部門としての対応策

技術的対策

  • PowerShellの実行制限(GPOによる制御・ログ収集)

  • 不審なURLやファイル拡張子の監視

  • EDR・IPSの導入による実行後の検知・封じ込め

組織・ユーザー教育

  • 「手動でコードを実行させる画面」への警戒心の教育

  • フィッシングや不審広告を開かない啓発活動

  • 万が一の実行時の通報ルートと対応手順の明確化

ClickFixは「心理」を突く新世代の脅威

ClickFixは、従来のマルウェアやフィッシングと異なり、「ユーザー自身の操作を利用して感染させる」という極めて巧妙な手法です。既に国家アクターにも利用されており、技術的な洗練が進むことで、検知・防御がますます困難になることが予想されます。

特に、CAPTCHAやOSメッセージを装った誘導は見分けがつきづらく、教育と訓練の強化が重要です。

情報システム部門としては、ClickFixに象徴される人に実行させるマルウェア”への備えを急ぎ、システムと人の両面からの防衛体制を強化することが求められます。

参照

https://www.lac.co.jp/lacwatch/alert/20250519_004380.html

関連記事

国家支援ハッカーがサイバー攻撃に「ClickFix」を採用-新たなソーシャルエンジニアリング 手法の解説国家支援 ハッカーがサイバー攻撃に「ClickFix」を採用-新たなソーシャルエンジニアリング 手法の解説 サイバー攻撃の新手法:中国と北朝鮮APTグループの不正アクセス戦術サイバー攻撃の新手法:中国と北朝鮮APTグループの不正アクセス戦術 LockBit Black(LockBit.3.0) ランサムウェアがボットネットで数百万件のフィッシングメールを送信される TikTok(ティックトック)の危険性を解説TikTokの危険性を解説 イランがバイデンやトランプ前大統領のWhatsAppを標的にイランがバイデンやトランプ前大統領のWhatsAppを標的に Microsoft、生成AIのガードレールを回避しディープフェイク ネットワークを構築していたグループを提訴Microsoft、生成AIのガードレールを回避しディープフェイク ネットワークを構築していたグループを提訴 名古屋市や福岡空港でシステム障害 ロシア系集団によるDDoSなどのサイバー攻撃名古屋市や福岡空港へサイバー攻撃か ロシア系集団によるDDoS攻撃でシステム障害 米国、北朝鮮のハッカーの情報提供に1000万ドルの報奨金を提示米国、北朝鮮のハッカーの情報提供に1000万ドルの報奨金を提示 北朝鮮IT労働者の“なりすまし就労”が現実に 日本人2名が支援容疑で書類送検、日本企業への就労実態も解説北朝鮮 IT労働者の“なりすまし就労”が現実に 日本人2名が支援容疑で書類送検、日本企業への就労実態も解説