ClickFix攻撃がランサムウェアの侵入口に、偽エラー画面でユーザー自身にマルウェアを実行させる手口が国内でも拡大

登場人物紹介

チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。

ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo

「『このボタンを押してVerifyしてください』というメッセージが出たけど、押していいの?」
「ユーザーが自分でマルウェアを実行してしまうなんて、どういうことでしゅか?」

チップス

ボス、「ClickFix」って最近よく聞くんですが、どんな攻撃なんでしゅか?

ボス

ブラウザに偽のエラー画面や偽CAPTCHA認証を表示して、「この手順で修正してください」とユーザーを誘導する。気づかないうちにユーザー自身の手でPowerShellコマンドを実行させてしまう手口だ。しかもOSに標準搭載されたツールを使うため、ウイルス対策ソフトに引っかかりにくいのが厄介だ。

Trend Micro Japanは2026年7月に、「ClickFix」と呼ばれるソーシャルエンジニアリング手法が日本企業を標的とした攻撃で頻繁に使われていると警告しています。
特徴的なのは、ウイルス対策ソフトでは検知されにくく、最終的にランサムウェアの侵入口になるケースが国内でも確認されていることです。

  • 偽エラー画面・偽CAPTCHAでユーザー自身にPowerShellコマンドを実行させる。人間の「問題を解決したい」心理を突く攻撃
  • OSの標準ツール(PowerShell等)を悪用するLotL(環境寄生型)手法でシグネチャ検知をすり抜ける
  • 情報窃取からランサムウェア感染まで繋がる。LAC JSOCが国内の複数顧客で被害を観測済み

この記事では、ClickFix攻撃の仕組みと派生形、そして企業が今すぐ取るべき対策を解説します。

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
目次

ClickFix攻撃がランサムウェアの侵入口になっている実態

なぜClickFix攻撃が危険なのか、仕組みと国内の被害状況を整理します。

偽エラー画面でユーザー自身にコマンドを実行させる仕組み

ClickFix攻撃の流れは以下の通りです。

  • ユーザーが悪意あるWebサイトや改ざんされたサイトにアクセスする
  • 「エラーが発生しました。以下のコマンドをコピーして実行してください」と偽の案内が表示される
  • 案内に従い、クリップボードのコマンドをPowerShellなどに貼り付けて実行してしまう
  • 実行したコマンドがマルウェアをダウンロード・実行し、システムが侵害される
チップス

コマンドを自分で実行するなんて、怪しいと思わないんでしゅか?

ボス

「ボットではないことを証明してください」「セキュリティ検証が必要です」という偽CAPTCHAや、Cloudflareを模倣した画面など、信頼感を与える演出が巧妙だ。「問題を解決したい」という人間の心理を突くのが、この攻撃の本質だ。

LotL手法でシグネチャ検知をすり抜け、国内でも被害が続出

ClickFixが従来のセキュリティ対策を突破しやすい最大の理由は、LotL(Living off the Land:環境寄生型)手法を使う点にあります。
実行されるコマンドはPowerShellやmshta.exeなどOSに標準搭載されたツールを悪用するため、マルウェアのシグネチャが存在せず、多くのウイルス対策ソフトが検知できません。

ClickFix攻撃の多様な変種として、以下のような手口も確認されています。

  • 偽CAPTCHA(「私はロボットではありません」の認証画面を模倣)でWindowsのRun実行ダイアログを起動させる
  • フルスクリーン表示でサポート詐欺のように見せかけ、偽サポートに電話させる
  • FileFixと呼ばれる派生版ではWindowsエクスプローラーのアドレスバーを悪用してコマンドを実行させる

LAC JSOCは、国内の複数の企業でClickFix攻撃による被害を観測したことを報告しています。
ClickFix単体ではなく、情報窃取型マルウェアの導入後にランサムウェアが投下されるというパターンが多く確認されています。

ClickFixから身を守るための多層防御アプローチ

ClickFix対策は、ユーザー教育だけでは不十分です。技術的な対策との組み合わせが必要です。

ユーザー教育と技術的制限の組み合わせが有効

ClickFix攻撃に対して今すぐ実施できる対策は以下の通りです。

  • 「Webサイトからコマンドをコピーして実行する」という操作は正規のソフトウェアでは絶対に要求されないことを全社員に周知する
  • 一般ユーザーのPowerShell実行権限をグループポリシーで制限し、管理者承認を必須にする
  • EDR(エンドポイント検知・対応)を導入し、PowerShellの異常な実行をリアルタイムで検知する
  • フィッシング訓練にClickFix型のシナリオを追加し、社員の判断力を高める

まとめ

ボス

ClickFixは技術的な穴を突くのではなく、人間の心理を突く攻撃だ。ユーザー一人ひとりが「Webサイトからコマンドを実行させようとするのは攻撃のサイン」と知っていれば、防ぐことができる。教育と技術的制御の両輪が重要だ。

チップス

「Webサイトからコマンドを実行する」のは絶対に変だと、職場のみんなに教えておきましゅ!

ClickFix攻撃は、人間の「問題を解決したい」という心理を突くソーシャルエンジニアリングであり、OSの標準ツールを悪用するため従来のシグネチャ検知では止められません。
国内でも複数の被害が観測されており、ランサムウェアの侵入口として使われるケースが増えています。
「Webサイトからコマンドを実行させる要求は100%攻撃である」という認識を組織全体で共有し、PowerShell実行権限の制限とEDRの導入を組み合わせることが、最も現実的な防御策です。

オススメ案件

【製造業向けセキュリティ評価支援(IT/OT横断)】フルリモート/NIST CSF・セキュリティガバナンス

月額単価
1,200,000円 / 月
稼働場所
フルリモート
業務領域
要件定義, 設計
作業内容:
製造業企業における組織・ITシステム・OT領域を横断した、大...

【客先グループ内セキュリティ管理チーム支援(M365運用)】大崎(リモート併用)/インシデント対応・M365

月額単価
600,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
大手客先グループ会社内における、セキュリティ管理チームの...

【行政向けセキュリティ機能導入(Microsoft Defender)】渋谷(常駐)/テスト・運用設計・手順書作成

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
某特別区の行政インフラを支える、Microsoft Defenderの導入...

【顧客内セキュリティ対応に向けたインフラ設計・構築】京橋/Azure・OCI・ハイブリッドクラウド

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
要件定義, 設計, 構築
作業内容:
主要クラウド(Azure/OCI)とオンプレミスが融合した高度なハ...

【大手物流サービスのAWSセキュリティ堅牢化・監視】品川シーサイド/AWS・インフラセキュリティ

月額単価
1,000,000円 / 月
稼働場所
東京都
業務領域
構築, 運用・保守
作業内容:
人々の生活を支える国際物流という社会インフラにおいて、AWS...

【軽自動車関連システムの更改に伴う基盤・セキュリティ設計】豊洲/マルウェア対策・セキュリティ基盤

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築, 運用・保守
作業内容:
人々の生活に身近な軽自動車関連システムの全面更改に向けて...

【公共SIEM環境の統合・再構築】豊洲/Splunkを用いた設計・構築・移行

月額単価
800,000円 / 月
稼働場所
東京都
業務領域
設計, 構築, 運用・保守
作業内容:
公共系システムにおける拠点統合に伴い、閉域網環境にて既存...

【生命保険システムにおける内部監査・セキュリティ運用】多摩センター(リモート併用)/AWS・IAM

月額単価
700,000円 / 月
稼働場所
東京都リモート併用
業務領域
運用・保守
作業内容:
生命保険システムにおけるセキュリティの要となる内部監査業...

【Simbian製品全般の商用導入・カスタマーサポート(TAM)】都内(要確認)/セキュリティ製品導入支援・プロジェクト管理

月額単価
850,000円 / 月
稼働場所
フルリモート
業務領域
設計, 構築, 運用・保守, PMO
作業内容:
最先端のセキュリティ製品である「Simbian」の商用導入フェー...

【Identity Governanceの核となるSailPoint導入プロジェクト】宝町・京橋(基本リモート)/AWS・Linux・自社開発エンハンス

月額単価
800,000円 / 月
稼働場所
東京都リモート併用
業務領域
要件定義, 設計, 構築
作業内容:
最先端のアイデンティティガバナンス製品「SailPoint」の導入...
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

セキュリティプロ・フリーランスは、セキュリティ領域に特化したフリーランス向けのエージェントサービスです。案件探しだけでなくキャリアにお悩みの方もお気軽にご相談ください。

目次