クリックフィックス攻撃とは?自分で実行させる新手口

システム開発・テクノロジー
クリックフィックス攻撃とは?ざっくりと3行で
  • クリックフィックス攻撃とは、偽のエラー画面や認証画面を見せ、利用者自身の手で不正なコマンドを実行させて感染させるサイバー攻撃のことだ。
  • 怪しいファイルを開かせるのではなく本人に操作させるのがミソで、セキュリティ製品のログには正規の操作に見えてすり抜けやすい。
  • 不審なリンクは踏まないという心構えだけでは防げず、画面の指示どおりにキーを叩いた瞬間に感染する時代になったと覚えておくといい。
クリックフィックス攻撃で偽の認証画面に従い、利用者が自らコマンドを実行してマルウェアの侵入を招く流れを描いた4コマ漫画。
①偽の認証エラー画面が表示され会社員が困惑する。②画面の指示通り自分でキーを押していく。③実行した瞬間PCへ黒い影が侵入する。④デプロイ太郎がその手順は泥棒に鍵を渡す行為だと警告する。

この4コマは、クリックフィックス攻撃で実際に起きている被害の流れを凝縮したものです。コマ①の偽の認証エラーは、CAPTCHAやブラウザの更新画面を巧妙にまねており、多くの利用者が正規の警告だと思い込んでしまいます。画面の指示に従うほど危険に近づくという逆転構造こそ、この攻撃の怖さと言えるでしょう。

コマ②③で描いたように、実際の手順はWindowsキーとRキー、続けて貼り付けと実行キーを押すだけです。このとき裏側では、悪意あるコマンドがクリップボードへ自動でコピーされています。利用者は修復作業のつもりでも、その一手がマルウェアを自分の手で起動する引き金になっているのです。

企業にとって深刻なのは、この操作がセキュリティ製品のログ上では正規の利用者による操作として記録される点でしょう。LACの報告でも、EDRのログでは意図した実行に見えると指摘されています。だからこそ、画面が指示する手順を鵜呑みにしない習慣が最後の防波堤になります。

なぜクリックフィックス攻撃は見破りにくいのか?

クリックフィックス攻撃で最も気づきにくいのは、不正なコマンドが利用者のクリップボードへ自動でコピーされ、本人が貼り付けて実行するまで目立つファイルのダウンロードを一切見せない点です。

クリックフィックス攻撃の巧妙さは、攻撃の工程を3つに分解すると見えてきます。第1に、改ざんされたサイトやメール経由で偽のCAPTCHAやブラウザ更新エラーを表示し、利用者に修復が必要だと錯覚させるのが入口です。第2に、Windowsキーとrキーで開く画面へ貼り付けと実行を促し、裏でコピー済みの悪意あるコマンドを走らせます。第3に、そこからダウンローダーを経てLumma Stealerなどの情報窃取型マルウェアへ感染させる、という流れになります。LACが2024年10月以降に複数の顧客で被害を観測したと公表しており、富士ソフトの解説でも2024年上旬から世界中で急増したと報告されている点も見逃せません。

組織で防ぐなら、Windowsキーとrキーで開くファイル名を指定して実行やPowerShellの利用をグループポリシーで制限し、その画面が出ても実行させない仕組みを先に作っておくのが有効です。

個人でできる最大の対策は、拍子抜けするほど単純です。Webサイトやエラー画面がキー操作の手順を指示してきたら、それ自体が異常だと判断してタブを閉じること。正規のCAPTCHAが利用者にコマンド入力を求めることはありません。偽画面はChrome、Microsoft Office、GitHub、Cloudflareのエラー表示に似せて作られるため、見た目の精巧さで安全性を判断しないことが求められます。

クリックフィックス攻撃のよくある誤解

リンクを踏まなければ感染しないという油断

クリックフィックス攻撃は、添付ファイルを開いたりリンク先で勝手にダウンロードが始まったりする従来型とは主役が異なります。感染の最後の引き金を引くのは、あくまで利用者自身のキー入力です。踏む・踏まないという判断軸だけでは、この攻撃は素通りしてしまいます。

セキュリティソフトが自動で止めてくれるはず

本当に自動で防げるのでしょうか。クリックフィックス攻撃で実行されるコマンドは、EDRなどのログ上では利用者が意図して行った正規の操作として記録されます。LACもこの点を検知の難しさとして指摘しており、製品任せにできない領域が残ると理解しておく必要があります。

ITに詳しい人なら騙されない

むしろ操作に慣れた人ほど、表示された手順を疑わずに素早く実行してしまう危うさがあります。偽画面は実在サービスのエラー表示を精密に模倣するため、知識量と回避できるかどうかは必ずしも一致しません。焦らせる文言に反応せず、一度手を止める姿勢が誰にとっても効きます。

会話での使われ方

ITKAGYO運営者デプロイ太郎が、クリックフィックス攻撃への注意を社内に呼びかけているアイコン画像

最近、認証エラーの画面でWindowsキーを押してと出るやつ、絶対に従わないでください。あれ、自分の手でウイルスを動かすクリックフィックス攻撃です。

情報システム担当者が、全社向けのSlackチャンネルで注意喚起として投稿した一文です。

ITKAGYO運営者デプロイ太郎が、クリックフィックス攻撃の新しい手口を後輩に教えているアイコン画像

リンク踏んでないから大丈夫って考えはもう古くて、クリックフィックス攻撃は画面の言う通りにキーを押させる手口なんだよ。

ランチ後の雑談で、先輩エンジニアが入社したばかりの新人に軽い口調で教えている場面です。

ITKAGYO運営者デプロイ太郎が、クリックフィックス攻撃の対策を顧客へ提案しているアイコン画像

御社の端末にEDRを導入していても、クリックフィックス攻撃のように利用者自身が実行する手口は検知が難しい場面があります。ですので、従業員教育もセットでご提案させてください。

セキュリティ製品を扱うベンダーの営業担当が、クライアント企業との商談で対策を提案している場面です。

クリックフィックス攻撃の歴史

クリックフィックス攻撃は比較的新しい手口であり、短期間で世界的に広がった経緯を押さえると警戒すべき理由が見えてきます。

出来事
2024年(上旬〜)富士ソフトの解説によれば、この頃から手口が世界中で急増し始めた。
2024年10月LAC(JSOC)が複数の顧客企業でクリックフィックスによるインシデントを観測。
2025年5月LACがLAC WATCHで被害と手口を公表し、国内で本格的に注意喚起が始まる。
現在富士ソフトなど国内の大手セキュリティ関連企業が相次いで解説・注意喚起を公開している。

クリックフィックス攻撃とフィッシング詐欺の違い

クリックフィックス攻撃とフィッシング詐欺は、どちらも人をだますソーシャルエンジニアリングですが、ゴールと利用者にさせる操作が異なります。混同したままだと的外れな対策になりかねません。

比較観点クリックフィックス攻撃フィッシング詐欺
主な狙いマルウェアを実行・感染させるID・パスワードなどの情報を盗む
利用者にさせる操作コマンドを自分の手で実行する偽サイトに認証情報を入力する
気づきやすさ正規操作に見えログで検知しにくいURLや送信元で見破れる場合がある
主な対策実行やPowerShellの制限と従業員教育URL確認と多要素認証

【まとめ】クリックフィックス攻撃の3つのポイント

  • 被害者を実行犯にする攻撃:偽のエラー画面で利用者自身にコマンドを打たせ、感染の最後のひと押しを本人にさせる手口です。
  • 実行前に手を止める習慣が効く:キー操作を指示する画面が出たら従わずタブを閉じ、組織なら実行機能を制限しておきましょう。
  • 製品任せにしない意識を持つ:正規操作に見えて検知をすり抜けるため、知らないままだと防御網を素通りされるリスクがあります。

よくある質問

Q
クリックフィックス攻撃に引っかかると何が起きますか?
A

Lumma Stealerに代表される情報窃取型マルウェアに感染し、保存された認証情報などが盗まれる恐れがあります。LACの解析でも、ダウンローダーを経てこうしたマルウェアに感染することが確認されました。被害は自分だけにとどまらず、盗まれた情報を足がかりに社内へ広がりかねません。

Q
クリックフィックス攻撃はどうやって防げばいいですか?
A

画面がキー操作の手順を指示してきたら実行せずタブを閉じる、これが個人にできる一番の防御です。組織側ではWindowsキーとrキーで開くファイル名を指定して実行やPowerShellをグループポリシーで制限する方法があります。あわせてEDRの導入と従業員への定期的な教育を組み合わせると効果が高まります。

Q
偽のCAPTCHA画面が出たらどう対応すればいいですか?
A

手順の実行を求められた時点で偽物を疑い、従わずにそのタブを閉じてください。本物のCAPTCHAは、あなたにキーボードのコマンド入力を求めることはありません。ブラウザの更新やエラー修復を装うパターンも同じ考え方で、修復手順を促す画面ほど警戒する意識が身を守ります。

Q
クリックフィックス攻撃とフィッシング詐欺との違いは何ですか?
A

ゴールが違う、というのが最大の分かれ目です。フィッシング詐欺は偽サイトに認証情報を入力させて盗むのが目的ですが、クリックフィックス攻撃は利用者自身にコマンドを実行させてマルウェアを感染させます。前者はURL確認で見破れる余地があるのに対し、後者は正規操作に見えるためログ検知が難しい点も対照的です。

この用語と一緒に知っておきたい用語

用語この記事との関連
ソーシャルエンジニアリングクリックフィックス攻撃は人の心理を突くこの攻撃手法の一種です。
マルウェア攻撃の最終目的として端末に送り込まれる悪意あるソフトの総称です。
ランサムウェア感染後に送り込まれうる代表的な脅威で、被害拡大の入口になります。
EDR端末を守る主要な対策だが、正規操作に見える本攻撃では検知が難しい場面があります。
スミッシングSMSを使った誘導手口で、クリックフィックスへ誘い込む入口にもなります。

【出典】参考URL

https://www.lac.co.jp/lacwatch/alert/20250519_004380.html :2024年10月以降の被害観測、偽CAPTCHA/ブラウザ更新の手口、Windowsキー+R等の操作、Lumma Stealerへの感染、EDRログでは意図した実行に見える点、対策としてのグループポリシー設定の根拠。
https://www.fsi.co.jp/techtips/quick/2056/ :2024年上旬からの世界的急増、Chrome/Microsoft Office/GitHub/Cloudflareのエラー偽装、感染経路(改ざんサイト・フィッシングメール・SMS等)、EDR導入と従業員教育という対策の根拠。

コメント

「IT用語、難しすぎて心が折れそう……」という方のための、ハードル低めな用語辞典です。

情報レベルは「基礎中の基礎」。会話を止めないためのエッセンスだけを抽出しています。分かりやすさを追求するあまり、時々例え話が暴走しているかもしれませんが、そこは「ほどよく」聞き流していただけると幸いです。
ほどよくIT用語辞典システム開発・テクノロジー
デプロイ太郎のSNSを見てみる!!