ClickFix攻撃は、従来のセキュリティ製品では検知が難しく、利用者の操作を巧みに誘導する点が特徴です。そのため、事前のセキュリティ対策としては、脆弱性診断や不審なコードの可視化、開発者向けの教育が有効です。
本記事では、ClickFix攻撃の仕組みや特徴、日本国内での被害状況、典型的な攻撃の流れ、そして有効な対策について具体的に解説します。
一方、万が一被害が発生した場合には、操作履歴や改ざんの有無を確認するためのフォレンジック調査が重要です。初動対応を適切に行うことで、原因の特定や被害範囲の把握、さらには再発防止策の策定につながります。
事前のセキュリティ診断と、事後のフォレンジック体制の両輪を整えることで、被害を最小限に抑え、迅速な復旧と再発防止が可能になります。
| 本ページには広告が含まれています。本コンテンツ経由で商品・サービスの申込みがあった場合、企業から送客手数料を受け取ることがあります。 |
ClickFix(クリックフィックス)攻撃とは
ClickFix(クリックフィックス)攻撃とは、利用者に「コピーして貼り付ける」操作を行わせ、その結果として不正コードを実行させる攻撃手法です。
攻撃者は「今すぐ修復できます」「以下のコードをコピーして実行してください」といった偽のメッセージを提示し、利用者自身にコマンドやスクリプトを実行させます。
この仕組みにより、利用者は「修復作業をしている」と誤認する一方で、実際にはマルウェアがダウンロードされて展開されたり、不正な設定変更が行われたりするのが実態です。
セキュリティ製品の多くは「利用者が自ら実行した操作」を正当な行為とみなすため、検知やブロックが難しいのが特徴。結果として、通常のアンチウイルスやフィルタリングをすり抜け、被害に至るケースが増加しています。
ClickFix攻撃の主な特徴
ClickFix攻撃は、従来のフィッシングやマルウェア攻撃と異なり、利用者自身の操作を利用する点に大きな特徴があります。特にセキュリティソフトでは防ぎにくい仕組みや、高度な偽装技術が組み合わされているため、気づかないうちに被害に巻き込まれるケースが多発しています。
セキュリティソフトでは防ぎにくい
ClickFix攻撃は、利用者自身にコードをコピー&ペーストさせて実行させる点に特徴。攻撃コードは「利用者の正規操作」として扱われるため、従来型のセキュリティソフトやアンチウイルスでは自動的なマルウェア実行と区別できず、事前検知やブロックが困難となります。
さらに、攻撃に使われるコードは短いスクリプトや一般的な管理コマンドを装っている場合が多く、単体では不審と判断されにくい点も脅威を増大させています。
高度な偽装技術
攻撃者は、正規サイトに酷似した偽ページや、ポップアップ広告、ブラウザ通知などを用いて利用者を誘導します。中には公式サポートページやセキュリティ修復ツールを装った偽画面も確認されており、利用者が正規サービスと誤認しやすいのが特徴です。
さらに、「エラーを修復するには下記コードをコピーして貼り付けてください」といった指示を提示することで、利用者自身に不正コードを実行させる点がClickFix攻撃特有の流れです。この巧妙な偽装により、多くの利用者が「正しい操作」だと信じ込み、実際には攻撃を実行してしまいます。
ClickFix攻撃の国内動向と被害状況
証券口座などを狙うClickFix攻撃について、日本も検出が多い地域の一つであり、増加傾向にあることが複数のセキュリティベンダーにより報告されています。
ESETの調査によると、ClickFixおよび類似のHTML/FakeCaptchaとされる攻撃は、2024年後半〜2025年前半で517%増加し、全ブロックされた攻撃の約8%を占めました。国別では、日本が最も多い23%を占めており、世界で最も検出が多い国となっています。
出典:ESET
さらに、Proofpointのレポートでは、北朝鮮のKimsuky、イランのMuddyWater、ロシア系グループ(APT28、UNK_RemoteRogue)など複数の国家支援型攻撃者が、2024年後半以降ClickFixを攻撃チェーンに導入していると報じられています。
日本においても同手口が国家的脅威として取り上げられる可能性があることを示唆するものです。
出典:TechRadar
ただし、現時点で日本国内の被害件数や金額、具体的な被害事例についての統計データや公開された報告は見当たりません。被害の全容はまだ把握されていない状況です。
日本国内でも被害急増
海外で確認されていたClickFix攻撃は、2024年頃から日本国内でも報告が相次いでいます。特に、ECサイトや銀行のログインページを装った偽サイトを経由して利用者を誘導するケースが目立ち、その結果、個人情報や認証情報が窃取される被害が発生しています。
また、中小企業の業務用PCや自治体の端末が感染源となり、業務停止やランサムウェア被害へと発展した事例も報告されており、個人利用者だけでなく組織全体を巻き込む深刻な脅威となっています。
現時点では正確な件数統計は公開されていませんが、ESETなどのセキュリティベンダーは日本を「ClickFixの検出が多い地域の一つ」と位置づけており、今後さらなる被害拡大が懸念されています。
典型的なClickFix攻撃の流れ
ClickFix攻撃は段階的に進行し、利用者を誘導して不正コードを実行させ、最終的に情報窃取や不正操作に至ります。以下はその典型的な流れです。
① 誘偽広告や改ざんサイトからアクセスさせる
攻撃はSNSの投稿や検索エンジン広告、改ざんされた正規サイトなどを経由し、利用者を「修復」「アップデート」を装った偽ページに誘導するところから始まります。
② 偽の修復画面でコマンド実行を誘導
偽ページでは、ブラウザのDevToolsやPowerShell、あるいは「ファイル名を指定して実行」を開かせ、「下記のコードをコピー&ペーストしてください」といった指示を表示。利用者は正規のサポート指示と誤認しやすいです。
③ 利用者によるコマンドの実行
利用者がコードを実行すると、curl や Invoke-WebRequest(PowerShell)経由で不正ファイルがダウンロードされ、マルウェアが展開されます。典型的な実行対象は、情報窃取型マルウェア(Infostealer)、リモートアクセスツール(RAT)、ブラウザ拡張型マルウェアなど。
④ 感染や情報窃取に発展
マルウェアが動作すると、認証情報・セッショントークン・クレジットカード情報などが窃取されるほか、ブラウザのハイジャックやC2(コマンド&コントロール)サーバーとの通信が開始され、外部からの操作や持続的な侵害につながります。
不審なコマンドをコピー&ペーストした可能性がある使用者が確認された場合は、速やかにフォレンジック調査を検討する必要があります。操作履歴や通信ログを保存・解析することで、不正コードが実行されたか、外部通信が行われたか、情報流出が発生したかを確認できます。
さらに、フォレンジック調査によって改ざんの有無や侵害範囲を明確化することで、再発防止策の策定や関係当局・取引先への正確な報告にも役立ちます。
ClickFix攻撃への対策と注意点
ClickFix攻撃は「人の判断ミス」を突くため、技術的な防御だけでは不十分です。コピー&ペーストの指示に注意すること、利用者への教育、正規窓口の確認といった基本的な行動が被害防止につながります。さらに被害が疑われる場合には、フォレンジック調査の活用も有効です。
「コピー&ペースト」指示には細心の注意
「このコードをコピーして実行してください」といった指示は、基本的に危険信号と考えるべきです。正規のサポート窓口や大手オンラインサービスが、利用者に直接コマンドやスクリプトを入力させることはほとんどありません。
特に、ブラウザの開発者ツールやターミナル、コマンドプロンプトに貼り付けさせる形式の指示は、利用者の権限でそのまま実行されてしまうため、セキュリティ製品による検知やブロックが働きにくく、極めて危険です。
少しでも不審に感じた場合は直ちに操作を中断し、必ず公式サイトや正規サポート窓口で案内内容を確認することが重要です。
セキュリティ教育の徹底
従業員や利用者への教育を通じて、ClickFix攻撃の手口を正しく周知することは、被害を未然に防ぐうえで極めて重要です。
特に、正規サイトを装った偽ページや「コピー&ペースト」「この手順で修復されます」といった不自然な指示に遭遇した場合には、直ちに操作を中断し、公式サポートで確認するといった具体的な行動を徹底させる必要があります。
さらに、定期的なセキュリティ研修や模擬攻撃訓練を実施し、実際の攻撃シナリオを体験させることで、利用者は不審な状況に直面しても冷静に判断し、適切に行動できるスキルを身につけられます。
正規のサポート窓口かを常に確認
エラーメッセージやサポート画面が表示された場合は、必ず公式サイトのサポート窓口を経由して確認することが重要です。検索エンジンに表示される広告リンクや、突然現れるポップアップからの誘導は、偽サイトである可能性が高く、被害の入口となりやすいため注意が必要です。
特に、「今すぐお電話ください」と電話番号を表示する偽サポート詐欺や、偽チャットサポートを装った誘導が多数確認されています。これらは利用者の不安心理につけ込み、金銭や個人情報を狙う典型的な手口です。
安全を確保するためには、公式の問い合わせ先をブックマークや社内ポータルに登録し、常にそこからアクセスする習慣を徹底することが有効な対策となります。
ClickFix攻撃の疑いがある場合はフォレンジック調査を検討
万が一「不審なコードをコピー&ペーストして実行した」「GitHubやブログに掲載されていたスクリプトをそのまま利用した」といった操作を行った可能性がある場合は、速やかにフォレンジック専門機関へ相談することを推奨します。
フォレンジック調査では以下の分析を通じて、被害の有無や範囲を明らかにできます。
- コマンド履歴やシステムログを解析し、不正コードの実行有無を確認
- 関与したファイルやプロセス、外部との通信の有無を特定
さらに、こうした証拠は警察や関係当局への報告、サイバー保険の請求、社内でのインシデント対応などにも活用可能です。ClickFix攻撃は利用者自身の操作を装うため証拠が残りにくく、初動対応の速さが調査の成否を大きく左右します。
個人利用者に限らず、企業や自治体においても、迅速な判断と対応体制の整備が求められます。
編集部おすすめ調査会社:デジタルデータフォレンジック(おすすめ度)
情報漏洩やサイバー攻撃といった、幅広いインシデントに対してフォレンジック調査を行っている専門会社をご紹介します。
こちらの業者は、相談件数が39,000件を超え、民間の調査会社でありながら官公庁や大手企業との取引実績も多く信頼できるため、幅広い調査に対応していておすすめです。もちろん法人だけでなく、個人のハッキングやサポート詐欺調査などの相談も受け付けています。
まずは無料で相談・見積りまで行ってくれるようなので、不安な方は一度相談してみるとよいでしょう。
| 費用 | ★見積り無料 まずはご相談ください |
|---|---|
| 調査対象 | PC、スマートフォン、サーバ、外付けHDD、USBメモリ、SDカード、タブレット など |
| サービス | 情報漏洩調査、ハッキング・不正アクセス調査、マルウェア・ランサムウェア感染調査、サイバー攻撃被害調査、退職者調査、労働問題調査、社内不正調査、情報持出し調査、横領着服調査、パスワード解除、データ改ざん調査、データ復元、デジタル遺品、離婚問題・浮気調査 など |
| 特長 | ✓累積ご相談件数39,451件以上 ✓国際基準をクリアした厳重なセキュリティ体制(ISO認証、プライバシーマーク取得済) ✓警視庁からの捜査協力依頼・感謝状受領の実績多数 |
デジタルデータフォレンジックは、国内トップクラスの調査力を有しており、累計3万9千件以上の豊富な実績があります。
規模が大きな調査会社でありながら、個人端末のハッキング調査、不正アクセス調査などの実績もあるようですし、24時間365日の相談体制、ニーズに合わせたプランのカスタマイズなど、サービスの利用しやすさも嬉しいポイントです。
ハッキング調査以外にも幅広い調査に対応しているだけでなく、ケースごとに専門チームが調査対応を行っているとのことで、高品質な調査が期待できます。さらに、警察への捜査協力も行っているなど、信頼がおける専門業者です
相談・見積りを“無料“で行っているので、まずは電話かメールで問合せをしてみることをおすすめします。
まとめ
ClickFix攻撃への備えとしては、まず事前の脆弱性診断やセキュリティチェックが不可欠です。システムや業務フローに潜む弱点を洗い出し、権限管理の見直しや不要な機能の制限を行うことで、利用者が不正なコードを実行させられるリスクを大幅に低減できます。
診断の結果、重大な問題が見つかった場合や不審なコマンド実行が確認された際には、速やかにパッチの適用やアクセス制限などの是正措置を実施し、必要に応じて関係当局への報告も検討すべきです。
さらに、被害の可能性がある場合にはフォレンジック調査を実施し、証拠を保全したうえで原因を特定することが重要です。専門家の支援を受けることで、正確な状況把握と再発防止策の策定が可能となり、組織全体のセキュリティ体制を強化することにつながります。