記事紹介 / 閲覧者自身の操作によりマルウエア感染を狙う攻撃 ClickFix についてまとめてみた

この記事は

Replay.fm Advent Calendar 2025 2日目の記事です。前日の記事は@yagihashのReplay.fm Advent Calendar Day.1 でした。

2人しか投稿者いないんで基本交互にやります。偶数担当の@sota1235です。

このアドベントカレンダーではReplay.fmで2025/1~11の間、収録で読んだ記事のうちもう一度読み直したかったり紹介したい記事とかを取り上げます。

記事を紹介する記事っていう謎なんですが、1年間のセキュリティとかのニュースの振り返りとして半ば自分の振り返りも兼ねてやっていきです。

紹介したい記事

みんなお世話になってるであろうpiyologの閲覧者自身の操作によりマルウエア感染を狙う攻撃 ClickFix についてまとめてみた - piyologです。

閲覧者自身の操作によりマルウエア感染を狙う攻撃 ClickFix についてまとめてみた - piyolog

2024年に悪用例が報告されたClickFix（クリックフィックス）と呼称されるソーシャルエンジニアリングの手口について、その後も複数の脅威アクターによる採用や攻撃事例の報告が相次いでいます。ここでは関連する情報をまとめます。 ClickFixとは何か ClickFixは閲覧者に対して、偽のCAPTCHA画面などを通じて攻撃者の用意したPowershellなどのスクリプトを閲覧者自身に実行させ、マルウエアをダウンロード、実行させるソーシャルエンジニアリング手口。 ClickFixに誘導されるケースは、マルバタイジング、SEOポイゾニングにより攻撃者の用意したサイトへ誘導される他、電子メールに添…

piyolog.hatenadiary.jp

記事のタイトルの通り、ClickFixと呼ばれる攻撃手法に関してまとめられた良記事です。

ClickFixとは何か

端的に言うとエンドユーザーを騙してマルウェアをインストールさせる手法の1つです。

なんでこんな名前なのかというと、騙し方に関連があります。百聞は一見にしかずで下記のような偽ページで騙します(画像はpiyologさんの記事より引用)。

この画像だけだと分かりづらいですが、前段として偽のCATCHAが仕込まれており、それを突破しようとするとこのようなダイアログが出ます。

ソフトウェアエンジニアリングのバックグランドがある方ならわかると思いますがここに書かれた指示は全然CAPTCHAなんかではなく、実態としてはマルウェアを手元にインストールするpayloadをクリップボードにコピーし、実行させるものになっています。

何が怖いのか

標的型攻撃であれ、無差別攻撃であれ、マルウェアを感染させるという第一ステップを達成するのはそれなりに大変です(たぶん)。

自分がパッと思いつくところだとメールでマルウェアを送りつける。フリーソフトウェアの皮を被らせたマルウェアを配る。開発者向けであればサプライチェーン攻撃を仕掛ける等でしょうか。

いずれも成功の可能性はあるものの太古からある手法ではあるのでエンドユーザなりプラットフォームなりも対策をしていてそれを迂回するのは大変です。

ですがこのClickFixは以下の点で怖さがあるなと思います。

• 行動を起こさせるための餌がある
  • 例えば怪しいメールとかとは違い、「次のページに行ける」と言う餌をぶら下げることでユーザの行動を促しやすい
• 知識がないと騙される
  • windows key + Rで特定の文字列を貼り付けるとマルウェアに感染してしまう、なんて一般の人はまず気付けない
• EDRなりがないと水際で防げない
  • 例えばメールでマルウェアを送ってもGmailなりを使ってればウィルススキャンに引っかかってまず成功しない
  • ClickFixは直接手元に落としてくるため、そのタイミングでローカル環境のなにがしが検知してくなかったら気付けないし防げない

シンプルながらも有効なことが徐々に判明し、紹介した記事内でも時系列が書いてありますが2024年ごろからぼちぼち事例が出始め、2025年で流行してしまったなぁと言う感じです。

2025年に徐々に拡大

収録では取り上げなかったものの、3月のpiyologの記事の後も流行していたり、亜種が出ていたりとまだまだ脅威としては健在です。

いくつか雑に紹介すると

• TikTok videos now push infostealer malware in ClickFix attacks
  • 偽サイトではなく、TikTokでマルウェア感染の誘導を行う
  • この記事以外とかだと例えば「Spotifyが無料になる裏技コマンドはこれ！」みたいな感じで紹介したようなものとかがあったはず
• New FileFix Method Emerges as a Threat Following 517% Rise in ClickFix Attacks
  • ClickFixの亜種としてFileFixと言う攻撃手法が出てるよと言う話
  • ファイルをダウンロードさせる → それを実行させるコマンドを入力させる、というアプローチを取る
• ClickFix malware attacks evolve with multi-OS support, video tutorials
  • Windows以外のOSもターゲットにしたり、ClickFixの成功(?)をサポートするための動画までつけだしたよ、と言う話

あたりが読んだ記事に入っています。

日本語のニュースもぼちぼち見かけるようになったかなぁと思います。興味がある方は「ClickFix ニュース」とかで調べてみてもいいかもしれません。

なんでこの記事を紹介したかったか

こっからは記事の本筋とはちょっとズレるんですが、piyologさんがこの記事を出したときにReplay.fmをやっててよかったなぁと思ったんですよね。

と言うのも今までの順番は

• piyologで紹介される
• 「そう言う事件や流行があるのか」と知る
• 一次ソースを見たり見なかったり

と言う感じだったんですが、Replay.fmを始めてからは

• 一次ソースでちらほら流行やらを掴む
• キャッチアップして自分の中で体系化する
• piyologで紹介される

と言う順になった印象があり、自分が一次ソースをそれなりに早く摂取できてる感覚を得られたからです。(piyologさんが遅いと言う意味では決してないです、むしろ早いというか確実に情報が出揃って一番いいタイミングでまとめてくれてる感を感じてます)

「それの何が嬉しいの？」と言う話ですが、こう言う流行ってものによっては自分の組織に降りかかるものも当然あるわけで、そういう脅威やトレンドを視界の端で掴んでおくといざ動き出さないといけない時の初動のスピードや質に差が出るんじゃないかなぁと思います。

特に日本語のセキュリティ系の情報はどうしても2, 3テンポ遅れてる印象、かつものによっては少し過大に語られてるものもあったりするのでそういうものに振り回されづらい、と言うのもメリットかもしれません。

明日は

yagihashの紹介回です。明後日はまた私ですがなるべく色の違う記事を紹介していければと思うのでクリスマスまでお付き合いください！