ClickFixは、単発のソーシャルエンジニアリング手口から、従来型のアンチウイルスやエンドポイント防御を出し抜く産業化された攻撃エコシステムへと姿を変えました。ReversingLabsが明らかにしています。

この手法が最初に確認されたのは2023年末から2024年初頭にかけてで、Proofpointが2024年半ばにこれをClickFixと命名しました。
この手口は、エクスプロイトや脆弱性を一切利用しません。CAPTCHA認証やブラウザのアップデート通知、あるいは会議エラーを装った偽のWebページが、訪問者にWindowsの「ファイル名を指定して実行」ダイアログやmacOSのターミナルを開かせ、コマンドを貼り付けてEnterキーを押すよう指示します。訪問者が指示内容を目にする前に、ページ上のJavaScriptがすでに悪意あるコマンドをクリップボードにコピーしています。そのコマンドはPowerShell、mshta、curlといった、システムですでに信頼されているツールを通じて実行されます。
被害者は、水飲み場攻撃と化した侵害済みのWebサイト、正規の広告ネットワークを通じて配信されるマルバタイジング、一般的な検索語でマルウェアページを上位表示させるSEOポイズニング、そしてベンダーや社内IT部門になりすましたフィッシングキャンペーンなどを通じて、ClickFixの誘導ページにたどり着きます。
MaaSという経済圏
「ClickFixの急速な拡散は偶然ではありません」とReversingLabsは指摘します。「キャンペーンの多様性やペイロードの多彩さの裏には、ClickFixの制作・配布・運用を産業化した、体系立てられたMaaS(Malware-as-a-Service)経済圏が存在します」
ClickFixの完全なキットは、地下フォーラムで月額250ドルから、生涯ライセンスなら1,800ドルで販売されており、ソフトウェアのアップデートも含まれています。より高額なパッケージには、Cloudflare CAPTCHA、ブラウザやOSのアップデート画面、SSL証明書エラー、フォントインストールページ、会議エラーといった主要ターゲット向けの誘導テンプレートがあらかじめ用意されています。購入者はドメインローテーションサービスや、標準機能として謳われるアンチウイルス回避保証、Telegramでのサポート窓口も利用できます。
「この構造により、マルウェア開発の実質的な能力を持たない個人でもClickFixキャンペーンを展開できるようになっています」と研究者らは付け加えています。
「高度な技術は自前で構築するのではなく、レンタルされているのです。防御側にとっての実際的な帰結は、攻撃者側のスキル水準が上がらないまま、キャンペーンの件数だけが劇的に増加するという事態です」
2026年4月、Netskope Threat Labsは、あるClickFix MaaSプラットフォームの運営側自身のセキュリティ上の不手際によってサーバー側の管理パネル詳細が流出したことで、そのバックエンドの実態を暴きました。
このバックエンドは複数のオペレーターを同時に管理し、被害者ごとの暗号資産ウォレットの資産状況を追跡していました。使用されたペイロードはNode.jsベースのRATで、C2(コマンド&コントロール)接続の確立後、窃取用モジュールをメモリに直接読み込み、Torネットワーク経由でgRPCによる通信を行っていました。
広がり続けるペイロード
Lumma StealerはClickFixのペイロードとして最も多く使われていますが、ペイロードの種類はそれにとどまらず拡大を続けていることが研究者らの調査で判明しました。
DarkGate、XWorm、AsyncRAT、NetSupport、SectopRATといったリモートアクセス型トロイの木馬(RAT)もClickFixのローテーションに組み込まれており、横展開や永続化、データ窃取といったハンズオンキーボード型の活動を可能にしています。
進化と加速を続けるClickFix攻撃
2026年1月、HuntressとMicrosoft Defender Expertsの研究者らは、CrashFixと呼ばれる新たな亜種を確認しました。この亜種は被害者のブラウザを意図的にクラッシュさせたうえで、それを復旧すると持ちかけるソーシャルエンジニアリングの誘導を仕掛けてきます。
ブラウザが実際に機能停止した状態にユーザーが反応する形になるため、この混乱により指示への従順度が高まる一方、従来型のエクスプロイト経路への依存は薄れています。
「セキュリティチームは、CrashFixをClickFixの基盤インフラの背後にある活発な開発サイクルの証拠として捉えるべきです」
NetSecurityは、より広範な「fix型」攻撃ファミリーを記録しています。FileFixはWindowsのファイルエクスプローラーのアドレスバーを悪用し、PromptFixはAIツールを標的にし、ConsentFixはOAuthの同意画面を悪用してアカウントを乗っ取ります。
初期のClickFixキャンペーンは一般消費者を狙ったものでした。しかし最近では、Microsoft 365のプロンプトやVPNエラー、社内ITポータルを模倣するなど、誘導手口はより企業向けの様相を強めています。研究者らは、AI生成による誘導コンテンツが今後さらに広まると予測しています。
構造分析によるClickFix対策
同レポートによると、ReversingLabsは、ユーザーが「ファイル名を指定して実行」ダイアログやターミナルにコマンドを貼り付ける前の段階で攻撃を検知するという、ClickFixによる一般的なセキュリティツールの回避への対策を編み出しました。
これを実現するため、脅威アナリストのToni Dujmović氏は、ペイロードではなく誘導ページ自体を読み取る構造ベースのYARAルールを構築し、自社が収集したファイル群に対して実行しました。
ReversingLabsがオープンソースとして公開するこのルールは、テストしたすべてのアンチウイルスエンジンをすり抜けていた123件の確認済みClickFix誘導ページを検出しました。一致した4,062件のサンプルのうち、この123件の内訳はクリーン判定されていたものが105件、未分類のまま残っていたものが18件で、そのうち複数は初回検知からわずか48時間以内のものでした。
研究者らは、複数の観点からシステムを強化するよう助言しています。PowerShellの制限言語モードは、誰かが直接スクリプトを起動した場合でもその実行内容を制限し、スクリプトブロックログは予防策が破られた際の記録を残します。Windows Defender Application ControlやAppLockerを使えば、環境寄生型(LotL)のバイナリが通常のコンテキスト外で実行されるのを防げます。
ソーシャルエンジニアリングの層は依然として人間の判断が介在する部分であり、偽のブラウザアップデートやCAPTCHAページ、IT サポートを装ったプロンプトを見分けられるよう従業員を教育することも、ClickFixへの防御に役立つとReversingLabsは結論づけています。
翻訳元: https://www.helpnetsecurity.com/2026/07/15/clickfix-social-engineering-attacks-report/