「『このボタンを押してVerifyしてください』というメッセージが出たけど、押していいの?」
「ユーザーが自分でマルウェアを実行してしまうなんて、どういうことでしゅか?」
ボス、「ClickFix」って最近よく聞くんですが、どんな攻撃なんでしゅか?
ブラウザに偽のエラー画面や偽CAPTCHA認証を表示して、「この手順で修正してください」とユーザーを誘導する。気づかないうちにユーザー自身の手でPowerShellコマンドを実行させてしまう手口だ。しかもOSに標準搭載されたツールを使うため、ウイルス対策ソフトに引っかかりにくいのが厄介だ。
Trend Micro Japanは2026年7月に、「ClickFix」と呼ばれるソーシャルエンジニアリング手法が日本企業を標的とした攻撃で頻繁に使われていると警告しています。
特徴的なのは、ウイルス対策ソフトでは検知されにくく、最終的にランサムウェアの侵入口になるケースが国内でも確認されていることです。
- 偽エラー画面・偽CAPTCHAでユーザー自身にPowerShellコマンドを実行させる。人間の「問題を解決したい」心理を突く攻撃
- OSの標準ツール(PowerShell等)を悪用するLotL(環境寄生型)手法でシグネチャ検知をすり抜ける
- 情報窃取からランサムウェア感染まで繋がる。LAC JSOCが国内の複数顧客で被害を観測済み
この記事では、ClickFix攻撃の仕組みと派生形、そして企業が今すぐ取るべき対策を解説します。
目次
ClickFix攻撃がランサムウェアの侵入口になっている実態
なぜClickFix攻撃が危険なのか、仕組みと国内の被害状況を整理します。
偽エラー画面でユーザー自身にコマンドを実行させる仕組み
ClickFix攻撃の流れは以下の通りです。
- ユーザーが悪意あるWebサイトや改ざんされたサイトにアクセスする
- 「エラーが発生しました。以下のコマンドをコピーして実行してください」と偽の案内が表示される
- 案内に従い、クリップボードのコマンドをPowerShellなどに貼り付けて実行してしまう
- 実行したコマンドがマルウェアをダウンロード・実行し、システムが侵害される
コマンドを自分で実行するなんて、怪しいと思わないんでしゅか?
「ボットではないことを証明してください」「セキュリティ検証が必要です」という偽CAPTCHAや、Cloudflareを模倣した画面など、信頼感を与える演出が巧妙だ。「問題を解決したい」という人間の心理を突くのが、この攻撃の本質だ。
LotL手法でシグネチャ検知をすり抜け、国内でも被害が続出
ClickFixが従来のセキュリティ対策を突破しやすい最大の理由は、LotL(Living off the Land:環境寄生型)手法を使う点にあります。
実行されるコマンドはPowerShellやmshta.exeなどOSに標準搭載されたツールを悪用するため、マルウェアのシグネチャが存在せず、多くのウイルス対策ソフトが検知できません。
ClickFix攻撃の多様な変種として、以下のような手口も確認されています。
- 偽CAPTCHA(「私はロボットではありません」の認証画面を模倣)でWindowsのRun実行ダイアログを起動させる
- フルスクリーン表示でサポート詐欺のように見せかけ、偽サポートに電話させる
- FileFixと呼ばれる派生版ではWindowsエクスプローラーのアドレスバーを悪用してコマンドを実行させる
LAC JSOCは、国内の複数の企業でClickFix攻撃による被害を観測したことを報告しています。
ClickFix単体ではなく、情報窃取型マルウェアの導入後にランサムウェアが投下されるというパターンが多く確認されています。
ClickFixから身を守るための多層防御アプローチ
ClickFix対策は、ユーザー教育だけでは不十分です。技術的な対策との組み合わせが必要です。
ユーザー教育と技術的制限の組み合わせが有効
ClickFix攻撃に対して今すぐ実施できる対策は以下の通りです。
- 「Webサイトからコマンドをコピーして実行する」という操作は正規のソフトウェアでは絶対に要求されないことを全社員に周知する
- 一般ユーザーのPowerShell実行権限をグループポリシーで制限し、管理者承認を必須にする
- EDR(エンドポイント検知・対応)を導入し、PowerShellの異常な実行をリアルタイムで検知する
- フィッシング訓練にClickFix型のシナリオを追加し、社員の判断力を高める
まとめ
ClickFixは技術的な穴を突くのではなく、人間の心理を突く攻撃だ。ユーザー一人ひとりが「Webサイトからコマンドを実行させようとするのは攻撃のサイン」と知っていれば、防ぐことができる。教育と技術的制御の両輪が重要だ。
「Webサイトからコマンドを実行する」のは絶対に変だと、職場のみんなに教えておきましゅ!
ClickFix攻撃は、人間の「問題を解決したい」という心理を突くソーシャルエンジニアリングであり、OSの標準ツールを悪用するため従来のシグネチャ検知では止められません。
国内でも複数の被害が観測されており、ランサムウェアの侵入口として使われるケースが増えています。
「Webサイトからコマンドを実行させる要求は100%攻撃である」という認識を組織全体で共有し、PowerShell実行権限の制限とEDRの導入を組み合わせることが、最も現実的な防御策です。