ClickFixの検出が108%急増、AI-fixやCrashFixがソーシャルエンジニアリング攻撃を拡大

サイバー犯罪者がソーシャルエンジニアリングの手口を急速に進化させており、ClickFixの検出件数が108%も急増していることが明らかになりました。

脅威アクターは、AI-fixやCrashFixといった新たな偽装型の亜種を次々と展開し、無防備なユーザーを騙して自らシステムを危険にさらすよう仕向けています。

これらのキャンペーンは、ウェブブラウザ上に偽のエラーメッセージを表示させ、被害者に悪意あるPowerShellスクリプトを管理者用ターミナルへ直接コピー&ペーストさせる手口に依存しています。

スクリプトが実行されると、従来型のセキュリティ境界を突破され、深刻なマルウェア感染への扉が開いてしまいます。

このような対話性の高いソーシャルエンジニアリングの急増は、2026年上半期に観測された広範なサイバーセキュリティの傾向とも一致しています。

全体的なスパムの量は33%減少し、一般的な電子メールの脅威も10%減少している一方で、攻撃者の手法はより標的を絞った、スクリプト主体のものへと変化しています。

従来型の実行ファイルに頼るのではなく、ハッカーはユーザーが日常的に利用しているウェブ技術そのものを武器化しています。

「AI-fix」の誘導文言に人工知能というテーマを組み込んでいる点は、脅威アクターが最新のテクノロジートレンドにいかに素早く適応し、被害者から不当な信頼を得ようとしているかをよく物語っています。

ClickFixおよびその亜種の仕組みは、すべて悪意あるスクリプトに依存しており、この傾向は2026年上半期の最新の脅威テレメトリにも色濃く反映されています。

攻撃者は、検出されやすいマルウェアの実行ファイルではなく、軽量なスクリプトやウェブファイルを利用することで、従来型のセキュリティフィルターを巧みにすり抜けています。この変化により、セキュリティチームは受信データのスキャン方法を根本から見直す必要に迫られています。

こうしたスクリプトへの高い依存度は、HTMLを利用したClickFixキャンペーンが大きな成功を収めている理由を説明しています。2026年上半期に検出された脅威のトップを具体的に見ると、HTML/Phishing.

Agentトロイの木馬が全メール脅威の19.9%を占め、首位に立っています。ユーザーが偽のCrashFixプロンプトに遭遇する際、それは通常、一見まったく正規のものに見える侵害済みHTMLページ上でホストされています。

さらに、JS/TrojanDownloader.AgentやJS/Danger.ScriptAttachmentも、この脅威状況において依然として高い割合を占めています。

これらのJavaScript系の脅威は、ソーシャルエンジニアリングの誘導手口と連携して機能することが多く、ユーザーが最初の罠にかかった後、バックグラウンドで密かに二次的なペイロードをダウンロードします。

AI-fixのようなソーシャルエンジニアリングキャンペーンの最終的な目的は、ほぼ例外なく大規模なデータ窃取か、ネットワーク全体の完全な侵害です。

ユーザーが偽の修正プロンプトに促されて悪意あるスクリプトを実行すると、攻撃者は直ちに情報窃取型マルウェアを展開し、企業の認証情報やセッショントークン、金融データを収集するとesetstaticは述べています

攻撃者はこうした情報窃取型マルウェアによって認証情報の窃取に成功すると、それを即座に利用してより広範なネットワーク侵入を進めます。

外部ネットワーク侵入のテレメトリによれば、単純なパスワード推測が依然として攻撃ベクトルの絶対的な首位を占めており、2026年上半期に報告されたインシデント全体の38.4%を占めています。

Apache Log4jの脆弱性を突く著名な未パッチの攻撃(13.3%)や、より新しいReactのCVE-2025-55182(8.4%)でさえ、認証情報を狙った攻撃の圧倒的な件数の前には見劣りしてしまいます。

説得力のあるAI-fixというテーマを取り入れながらClickFixが進化を続ける中、組織はネットワークの鍵を明け渡してしまう前に、こうした対話型のブラウザ脅威をユーザーが見抜けるよう、早急にトレーニングを行う必要があります。

翻訳元: https://cyberpress.org/clickfix-attacks-surge-rapidly/

ソース: cyberpress.org