それはリンクをブラウザにドラッグするという、ごくありふれた操作から始まることがあります。その3秒後には、脅威アクターがMicrosoft 365アカウントを乗っ取るために必要なトークンを手に入れています。しかも被害者は、従来のセキュリティ意識向上トレーニングが警告するようなことは何一つ行っていません。ただ、一見普通に見える手順に従っただけなのです。
これこそが現代のサイバー犯罪の特徴です。力ずくで侵入するのではなく、日常業務の中に静かに紛れ込み、何気ない操作をすべてが狂う瞬間へと変えてしまうのです。
これらの攻撃が成功し続ける理由
こうした攻撃が成功する背景には、私たちが日々のオンライン活動の中で身につけてきた習慣があります。CAPTCHAをクリックして通過する、Cookieの表示に同意する、処理を進めるためにキーの組み合わせを押す——攻撃者はまさに、こうして訓練された反射的な行動につけ込んでいるのです。
これがClickFix攻撃の核心的な仕組みです。被害者は偽の指示を提示され、特定のキーボードショートカットの組み合わせを押すよう促されます。すると、攻撃者が用意したコマンドが自分のマシン上に貼り付けられ、実行されてしまいます。悪用すべき脆弱性も、突破すべきファイアウォールもありません。あるのはただ、絶妙なタイミングで差し込まれた説得力のある嘘だけです。
ClickFixは2025年に急増し、現在も活発に使われ続けていますが、攻撃者はすでにこの手口をより巧妙な形へと進化させています。
下記の図1は、ClickFix型の偽の検証プロンプトを示しています。

Microsoft 365セッションを狙う新たな攻撃バリエーション
新たに登場したバリエーション「ConsentFix」は、攻撃対象をMicrosoft 365のOAuth同意フローへと移しています。これは、ユーザーがあまり注意を払わずにさっと通過することに慣れきってしまったサインインプロンプトです。
その手口は驚くほど巧妙に整えられています。フィッシングの誘い文句が届く経路には、Dropboxやdocsendといった信頼されたプラットフォームが使われることが多く、時にはパスワードで保護されており、それがセキュリティツールによる検査をさらに困難にしています。
被害者がリンクをクリックすると、一見標準的なMicrosoft認証画面のようなものが表示され、ローカルホストのコールバックリンクをブラウザにドラッグすることで手続きを完了するよう求められます。
このドラッグ&ドロップの操作こそが罠です。無害な認証手順を終えているつもりが、ユーザーは気づかぬうちにOAuthトークンを渡してしまい、攻撃者はパスワードもMFA回避も必要とせずに、メールをはじめとするMicrosoft 365サービスへのセッションアクセス権を手にしてしまうのです。
被害者は偽のフォームに認証情報を入力しているわけではありません。一見正当に見える認証フローを完了しているだけなのに、盗まれるのはセッションそのものなのです。
下記の図2は、ConsentFixが一見普通のMicrosoft 365サインイン手順に見えるものを、どのようにセッション窃取へと変えてしまうかを示しています。

犯罪者たちが手口を公然と共有している実態
2026年3月上旬までに、ConsentFixの詳細な手順解説がロシア語圏の公開サイバー犯罪フォーラムに投稿されていました。そこには実際に動作するコード、インフラのスクリーンショット、さらには攻撃の構築から展開までの手順を丁寧に示す動画チュートリアルまで含まれていました。
使用されるインフラは無料または広く利用可能なサービスに依存しており、この投稿ではさらに、攻撃者がフィッシングメッセージを一通も送る前にどのようにターゲットをプロファイリングするかについても解説されていました。LinkedInなどのツールを使って組織の構造を把握し、実在の人物に合わせて誘い文句を仕立てるという手法です。
かつては相応の技術力を必要としたこの手法も、今では詳細なドキュメントと段階的な手順書付きで提供されるようになっています。参入のハードルは下がり続けているのです。
被害リスクを減らすには
とはいえ、意識向上には依然として一定の役割があります。こうした攻撃は、人々が立ち止まらずに見慣れた業務フローを進めてしまうことに依存しているからです。「なぜこのサイトはホットキーを押させようとするのか」「なぜ見知らぬリンクをブラウザにドラッグさせようとするのか」——そう自問するだけで、攻撃全体を未然に断ち切れることも少なくありません。
しかし意識向上だけではこのギャップを埋めきれません。なぜなら、こうした攻撃はまさに「普段どおりに見える」よう入念に設計されているからです。防御側には、攻撃が残す痕跡を捉える検知体制も必要です。通常のユーザープロセスから発生する不審なPowerShellの活動や、想定外の場所からの新規セッションログインなどがそれに当たります。
エンドポイントとID(アイデンティティ)の監視があれば、一瞬の判断ミスが本格的なアカウント侵害へと転がり落ちる前に、こうした兆候を浮かび上がらせることができます。
攻撃者の狙いは、まさに絶好のタイミングで通常業務の流れに割り込み、あとは被害者自身に行動させることにあります。このパターンを理解することこそが、攻撃を食い止めるための第一歩となります。
Tradecraft Tuesday:製品紹介なし、営業トークなし。あるのはハッキングの実態だけ
Tradecraft Tuesdayは、サイバーセキュリティ専門家に向けて、最新の脅威アクター、攻撃手法、そして緩和策に関する詳細な分析を提供しています。毎週開催されるこのセッションでは、直近のインシデントを技術的に解説するウォークスルーや、マルウェアの傾向を包括的に分析する内容、そして最新の侵害指標(IOC)が取り上げられます。
参加することで得られるもの:
- 新たな脅威キャンペーンやランサムウェアの亜種に関する詳細なブリーフィング
- 証拠に基づいた防御手法と修復技術
- インシデント対応に関する知見を得られる、Huntressアナリストとの直接的なやり取り
- 実践的な脅威インテリジェンスと検知に関するガイダンスへのアクセス
組織の環境を守る責任を担う方々のために特別に設計された、リアルタイムのインテリジェンスと技術教育で、防御態勢をさらに強化しましょう。