ソーシャルエンジニアリング手法「ClickFix」が、サイバー犯罪者によるマルウェア配布の主要な手段として台頭しています。
2026年3月1日から5月31日にかけて発生したサイバー攻撃を分析したReliaQuestの研究者によるレポートによると、マルウェア配布においてClickFixが圧倒的な存在感を示しています。
ClickFixは強力な攻撃ベクターです。攻撃者が用意したコマンドを、信頼されたシステムのダイアログにユーザー自身に貼り付けさせるソーシャルエンジニアリングを悪用する点が特徴です。
ClickFix型攻撃では、ユーザー自身がコマンドを入力するため、その操作を正当な行為と判断する多くのウイルス対策ツールやサイバー防御ソリューションを回避できてしまいます。
ClickFix攻撃で多用されるソーシャルエンジニアリングの手口の一つが、侵害されたウェブサイトを利用する手法です。偽のCAPTCHAページを表示し、「人間であることを確認するためにコマンドを入力してください」とユーザーに促します。このコマンドはPowerShellコードの実行に使用され、情報窃取マルウェア(インフォスティーラー)などのマルウェアを取得・実行することで、被害者のシステムを密かに侵害します。
今回の調査期間中、ClickFixはさまざまなマルウェアの配布に悪用されており、WindowsシステムへのDeeploadマルウェアの配布もその一例として確認されています。
また、macOSユーザーへのAtomic Stealer(AMOS)マルウェア配布にこの手法が使用されたことも初めて観測されました。AMOSマルウェアは通常、ブラウザの認証情報、セッションクッキー、暗号資産ウォレット、キーチェーンデータの窃取を目的として設計されています。
この攻撃では、ブラウザ起点のワークフローを通じてScript Editorを起動させ、そこでユーザーにコマンドの入力を促す手口が使われました。攻撃者がScript Editorをターゲットに選んだ背景には、AppleがClickFix対策としてリリースしたアップデートがあります。このアップデートでは、ターミナルに貼り付けられたコマンドを実行前にスキャンし、悪意ある可能性がある場合にユーザーへ警告するセキュリティ機能が導入されました。
ReliaQuestのレポートは、「企業においてmacOSはもはや低リスクとして扱うべきではなく、Windowsと同等の監視・対応体制が必要です」と警告しています。
ClickFix攻撃への対策として、ReliaQuestは組織に対してWindowsおよびmacOSの両環境を対象としたユーザートレーニングの実施を推奨しています。
トレーニングの内容としては、「ファイル名を指定して実行」、ターミナル、Script Editorへのコマンド貼り付けを行わないよう指導することが考えられます。また、WindowsとmacOSの両方で、ClickFix型の誘導を模したシミュレーション演習を実施することも効果的です。
一方、ネットワーク管理者の取り組みも重要です。「ファイル名を指定して実行」ダイアログやクリップボードの使用を制限すること、悪意ある可能性のある実行ファイルの起動を制限すること、そして不審な広告やウェブサイトへのアクセスをブロックすることで、ユーザーがClickFix攻撃の被害に遭うリスクを低減できます。
翻訳元: https://www.infosecurity-magazine.com/news/clickfix-cybercriminals-favorite/
