ClickFix（クリックフィックス）攻撃とは？巧妙な手口と被害を防ぐ対策を解説

ClickFix攻撃の被害リスク

ClickFix攻撃を受けると端末がマルウェアに感染し、機密情報や認証情報が外部へ流出するリスクがあります。

企業ネットワーク全体に攻撃が波及した場合、深刻な業務停止を招く可能性があるため注意が必要です。

1台の端末が侵害されれば、そこを起点として社内の重要サーバーやデータベースへのアクセスが試みられ、組織全体のセキュリティが脅かされます。

顧客データや取引情報の漏洩は企業の信頼失墜に繋がり、損害賠償や訴訟リスクも伴うため、迅速な対策が求められます。

マルウェア感染の危険性や対策について知りたい場合は以下の記事をご覧ください。

【関連記事】マルウェアとは？種類や感染経路、感染した場合の症状や対処法を解説

偽の認証画面

正規サービスのログイン画面を模倣した偽画面で、「私はロボットではありません」などの認証情報の入力を促すパターンです。

特定の操作を要求することで、バックグラウンドで不正なスクリプトを実行させる仕組みとなっています。

画面デザインやロゴ、文言まで本物と見分けがつかないレベルで再現されているため、注意深いユーザーでも騙される危険性があります。

偽のエラーメッセージ

システムトラブルやセキュリティ警告を装った偽メッセージを表示する攻撃パターンです。問題解決のためと称して、悪意あるコマンドやプログラムの実行を誘導します。

例えば、「ウイルスが検出されました」「システムファイルが破損しています」といった緊急性の高い表現で不安を煽り、冷静な判断を妨げる心理操作が行われるのが特徴です。

指示通りにコマンドを実行すると、攻撃者が用意したマルウェアがダウンロードされて端末が侵害されます。

偽のWebサイト

正規企業のWebサイトを模倣した偽サイトへ誘導して攻撃を仕掛ける手口です。ドメイン名をわずかに変更した巧妙な偽装で、訪問者を騙す手法が使われます。

例えば、「example.com」を「examp1e.com」のように文字を入れ替えたり、「example-support.com」のようにハイフンを追加したりする細工が行われます。

偽のダウンロードサイト

人気ソフトウェアの配布サイトを装って、マルウェア入りファイルを提供する配信経路です。無料版や最新版を装うことで、ユーザーのダウンロード意欲を高める工夫が施されています。

ダウンロードしたファイルを実行すると、正規ソフトと一緒にマルウェアもインストールされるため、ユーザーが異変に気付きにくい点が脅威となっています。

メール・SMS

実在する企業や団体を騙るメッセージ内にリンクを埋め込んで、ターゲットを攻撃サイトへ誘導する手口です。

「アカウントが一時停止されました」「不正アクセスを検知しました」といった切迫した内容により、受信者は慌ててリンクをクリックしてしまう危険性があります。

差出人情報やメールアドレスが本物に見えるよう偽装されているケースも多く、銀行や通販サイト、配送業者を装ったメッセージが頻繁に確認されています。

SNS

SNS上で拡散される投稿やダイレクトメッセージを悪用する手口であり、知人や有名人からのメッセージを装うことで警戒心を解くのが主な特徴です。

例えば、アカウント乗っ取り後に友人リストへ攻撃メッセージを一斉送信したり、話題のニュースや限定情報を装った投稿で興味を引いたりする事例が報告されています。

信頼できる相手からのメッセージに見えるため、通常より警戒レベルが下がりやすく、被害に遭う確率が高まる傾向があります。

広告

正規の広告ネットワークに不正な広告を紛れ込ませて配信する手法です。魅力的なオファーや限定特典を謳って、攻撃サイトへの訪問を促してきます。

著名なニュースサイトやポータルサイトに表示される広告枠を悪用するため、ユーザーは正規の広告だと信じてクリックしてしまいがちです。

「期間限定セール」「無料プレゼント」といった魅力的な文言には注意が必要です。

Booking.comを装ったClickFix攻撃

2025年3月、Microsoft社はBooking.comを装ったClickFix攻撃が海外で確認されていると発表しました。

主に北米、オセアニア、南アジア、東南アジア、北欧、南欧、東欧、西欧のホスピタリティ組織に所属する個人を標的としていたとのことです。

この攻撃では旅行シーズンの繁忙期を狙い、オンライン旅行代理店からの正規メールを装って宿泊施設関係者へフィッシングメールを送信していました。

偽のエラーメッセージを表示してWindowsの「ファイル名を指定して実行」ウィンドウから悪意あるコマンドを実行させる手口により、複数の認証情報窃取マルウェアが配信されて金融詐欺に悪用されています。

偽のCAPTCHAとCloudFlare Turnstileを悪用した攻撃

2025年4月、偽のCAPTCHAとCloudFlare Turnstileを悪用した攻撃キャンペーンが発見されました。ローダー型マルウェアのLegionLoaderのペイロードを配信していた事例です。

Netskope Threat Labsの調査によると、検索エンジンでPDFドキュメントを探すユーザーを標的とし、ダウンロードしたファイルに偽のCAPTCHA画像を表示する手法が使われていました。

被害者がCAPTCHA画像をクリックするとブラウザの通知ページへ移り、最終的に悪意あるブラウザ拡張機能のインストールへと繋がる仕組みです。

100社を超える自動車ディーラーへのサプライチェーン攻撃

2025年3月、100社を超える自動車ディーラーのWebサイト上で有害なClickFixコードが発見されました。

攻撃者は共有ビデオサービス「LES Automotive」をマルウェアに感染させただけでなく、Webサイトの訪問者にまで被害を与えています。

PowerShellコマンドで訪問者の端末にペイロードを展開する手法が用いられており、サプライチェーン攻撃の典型的な事例として警戒が呼びかけられています。

ゼロトラストセキュリティの採用

ゼロトラストセキュリティとは、全てのアクセスを信頼せず常に検証する考え方のことで、不正な操作を検知する体制を構築します。

社内ネットワークからのアクセスであっても無条件に信頼せず、アクセスの度に認証と認可を求めることで内部からの脅威にも対応できます。

多要素認証やアクセス権限の最小化と組み合わせればより効果的です。ゼロトラストについては以下の記事で解説しています。

【関連記事】ゼロトラストとは｜その意味やセキュリティ対策のポイントをわかりやすく説明

従業員教育の徹底

定期的な訓練を通じて、偽の画面表示やメッセージを見分けるスキルを養成する取り組みも重要です。実際の攻撃事例を共有すれば、脅威への理解をより深めることができるでしょう。

具体的には、疑似的なフィッシングメールを送信する訓練や、ClickFix攻撃の画面を実際に見せるなどの方法が有効です。

不審な指示を受けた際の報告フローを明確にしておけば、早期発見と迅速な対処が実現し、組織全体の防御力が向上します。

エンドポイントセキュリティの実施

各端末に高度なセキュリティソフトを導入して、不審なプロセス実行を監視する体制が必要です。リアルタイム検知機能で悪意あるスクリプトの動作を即座にブロックします。

EDR（Endpoint Detection and Response）を導入すれば、通常と異なるコマンド実行やファイル操作を検知できるため、マルウェアの侵入経路の特定や対策方法の立案に効果的です。

なお、EDRの機能や運用時の注意点については以下の記事で詳しく解説しています。

【関連記事】EDRとは？EPPとの違いや機能・製品選びのポイントをわかりやすく解説