Japan
サイト内の現在位置を表示しています。
ユーザーを騙して悪意あるコマンドを実行させるClickFix手法が流行
サイバーインテリジェンス2025年5月14日
2025年2月、同時期に複数のClickFix手法を用いた攻撃に関する報告が相次ぎました。被害者に悪意のあるコマンドを実行させるこの手法は2024年上期に初めて報告され、2025年5月現在、国家支援の攻撃者にも浸透しつつあるなど注目されている手法の一つです。
本記事では、公開情報として報告されたClickFix手法を一覧しつつ、その傾向や推移などを見ていきます。
エグゼクティブサマリー
- 2024年前半、被害者を騙して自らの手でPowerShellなどで悪意あるコマンドを実行させる手法であり、ClickFixと呼ばれるソーシャルエンジニアリング手法が登場。
- 2025年2月ごろ特に被害報告が相次ぐ。
- 登場当初はWindows OSの修正がテーマだったが、最近は偽reCAPTCHAの報告が増加。
- 日本語での攻撃も確認しており、注意が必要。
目次
ClickFixとは
ソーシャルエンジニアリング攻撃の一種
偽のエラーメッセージを含むダイアログボックスを使用し、被害者にローカル上に悪意のあるコンテンツ(PowerShellなどのコマンド等)をコピペ・実行させてマルウェアなどを被害者自らに実行させる手法です。
公開情報における報告は2024年6月のProofpoint社によるものが初めてと思われます[1]。ただし、非公開情報として、2024年5月にSekoia.io社が報告しており、「ClearFake」クラスターがこの手法を使っていたとみられます[2]。このように、ClickFixはおよそ1年前から登場しました。なお、ClickFixの命名はProofPoint社によるものです。
以下は日本語におけるClickFix手法の例です。Botでないことを確認するための画面に偽装し、コマンド実行を指示しています。通常の確認ではこのようなWindowsキーを使用した手順を求められることはありません。
図 1 ClickFixの例(日本語)
2025年4月中旬までの攻撃事例一覧
| 記事公開日 | 概要 | 攻撃確認時期 | 報告者 | リンク |
| 2024/5/7 | 「ClearFake」によるPowerShell実行誘導 | 2024/3/1 | 研究者 | [3] |
| Closed (2024/5) |
「ClearFake」によるPowerShell実行誘導 | 2024/5/1 | Sekoia.io | [2] |
| 2024/6/29 | 「TA571」,「ClearFake」による複数マルウェア配布 | 2024/3,4,6 | ProofPoint | [1] |
| 2024/8/28 | 「Lumma」Stealerによる偽CAPTCHAを介した配布 | 2024/6,8 | Palo Alto Networks | [4] |
| 2024/9/19 | 「Lumma」Stealerによる偽CAPTCHAを介した配布 | 時期記載なし | CloudSek | [5] |
| 2024/10/25 | 「APT28」による偽reCAPTCHAを介した悪意のあるファイルを配布 | 2024/9/1 | CERT-UA | [6] |
| 2025/1/16 | NK「Lazarus」に関連するキャンペーン「Contagious Interview」でClickFixが使用される | 2024/12/1 | Validon | [7] |
| 2025/2/6 | 「NetSupport」RATの配布 | 2025/1~ | eSentire | [8] |
| 2025/2/10 | Deep Seekを騙ったClickFixで「Vidar」マルウェアを配布 | 2025/1/31 | CloudSek | [9] |
| 2025/2/11 | 新しいマルウェア「I2PRAT」の配布にClickFixを使用 | 2024/10~2025/1 | Sekoia | [10] |
| 2025/2/12 | NK「Kimsuky」がClickFixを使用 | 不明 | Microsoft | [11] |
| 2025/2/18 | 「ACRSteler」の配布に使用 | 2024/6,2024/11~ | AhnLab | [12] |
| 2025/2/21 | 偽CAPTCHAでマルウェア配布 | 不明 | CYFIRMA | [13] |
| 2025/3/3 | C2フレームワーク「Havoc」の配布 | 2025/1/1 | Fortinet | [14] |
| 2025/3/3 | 理学療法映像サイトHEP2goから偽のCAPTCHAページにリダイレクト | 2025/2/1 | ArcticWolf | [15] |
| 2025/3/13 | 「Storm-1865」によるBooking.comを騙るClickFix手法 | 2025/12~2025/2 | Microsoft | [16] |
| 2025/3/13 | キャンペーン「OBSCURE#BAT」の初期感染の1つは偽のCAPTCHAを使用したClickFix手法 | ClickFixコンテンツが表示されたサイトのVT登録から多くは2025/1下旬頃からと推測。 | Secureonix | [17] |
| 2025/3/13 | 100以上の自動車ディーラーが、専用の共有ビデオサービスを利用したサプライチェーン攻撃によって悪用され、サイトにClickFixのページが表示 | ファイルは2024/4から存在 | セキュリティ研究者 Randy McEoin氏 |
[18] |
| 2025/3/25 | PK「APT36」(中程度)が、悪意のあるAndroidアプリ配布と共に使用 | 2024/10 ClickFixが記載されるPDF作成 2024/11 配布サイトのドメイン登録 |
CYFIRMA | [19] |
| 2025/3/31 | NK「Lazarus」に関連するキャンペーン「ClickFake Interview」でClickFixが使用される | 2025年初頭~3月時点継続 | Sekoia.io | [20] |
| 2025/4/4 | 偽CAPTCHAとCloud Flare Turnstileを使用して、「LegionLoader」を配布 | 2025/2~ | Netskope | [21] |
2025年2月以降、報告事例が増加
2025年2月に入ってから、2024年の終わりから行われていたキャンペーンの報告が相次ぎました。多くはインフォスティーラーのような汎用マルウェアの配布に使用されています。一部のベンダーは、まだClickFixという名称を使わずに攻撃を報告していますが、2月以降の記事の多くではClickFixの名称が使われるようになっているため、今後はこの名称で追跡が可能と考えられます。
2025年3月以降では、“fake CAPTCHA”と”PowerShell”の組み合わせで検索するとヒットしやすくなっており、当初のOSやソフトウェアアップデートよりもCAPTCHAに見せかけた誘導が主流になってきているように思われます。また、HEP2goからのリダイレクトの事例では、サイトの性質により医療業界が標的とありますが、同タイミングでの複数報告での特定業界への言及の少なさから、侵害しやすいサイトを悪用している可能性の方が高いと考えられます。
よりシンプルな手法に収束?
PowerShellを被害者に実行させることが目的であるとすると、2024年6月にeSentire社が報告した類似事例も抑えておくとよいでしょう。これは、偽のITサポートページに記載されたPowerShellを実行すると「Vidar」マルウェアが展開されるという攻撃でした[22]。Windowsの特定のエラーを検索するとヒットする専用偽サイトが準備されており、ユーザーはこのサイトを訪問して自らマルウェアを展開してしまう攻撃となっています。
ユーザー自ら悪意あるコマンドを実行する点は同様ですが、ClickFixと異なる点として、特定の問題を抱えたユーザーのみを標的にしている点が挙げられます。報告時期を考えると、ClickFixの亜種と言えそうです。このような手の込んだ手法でなくより単純なClickFixが普及した理由として、準備コストの差が指摘できそうですが、ここまでの仕込みをしなくとも多くのユーザーを騙してしまえることが分かったからとも推測できます。
今後の予測
直近の1年ほどでClickFixを用いたマルウェア配布の報告事例が急増しました。現時点で確認されているものとして、日本語のものも出回っているようです[23]。短期間で配布のテーマがOSの修正からreCAPTCHAに遷移したことからも、今後も被害者が引っかかりやすい内容へと変わっていく可能性が高く、注視が必要と考えられます。
非常にシンプルゆえにClickFixの対策は容易ですが、ClickFake Interviewキャンペーンのようにビデオ面接とカメラの不具合、その修正が必要といった組み合わせによるメッセージとなると見破るのが難しくなります。こういったメッセージの多段階にも気を付ける必要がありそうです。
参照文献
[1] 
クリップボード経由でPowerShellを起動させられる攻撃が増加
[2] ClickFix tactic: The Phantom Meet
[3] ClearFake Malware Analysis Update
[4] Unit42-timely-threat-intel/2024-08-28-IOCs-for-Lumman-Stealer-from-fake-human-captcha-copy-paste-script.txt
[5] Unmasking the Danger: Lumma Stealer Malware Exploits Fake CAPTCHA Pages
[6] Кібератака UAC-0001 (APT28): PowerShell-команда в буфері обміну як "точка входу" (CERT-UA#11689)
[7] Lazarus APT: Techniques for Hunting Contagious Interview
[8] NetSupport RAT ClickFix Distribution
[9] DeepSeek ClickFix Scam Exposed! Protect Your Data Before It’s Too Late
[10] RATatouille: Cooking Up Chaos in the I2P Kitchen
[11] Microsoft Threat Intelligence has observed North Korean state actor Emerald Sleet (also known as Kimsuky and VELVET CHOLLIMA) using a new tactic
[12] ACRStealer Infostealer Exploiting Google Docs as C2
[13] Fake CAPTCHA Malware Campaign: How Cybercriminals Use Deceptive Verifications to Distribute Malware
[14] Havoc: SharePoint with Microsoft Graph API turns into FUD C2
[15] Healthcare Sector Targeted by Fake CAPTCHA Attack on HEP2go to Deliver Infostealer Malware
[16] Phishing campaign impersonates Booking .com, delivers a suite of credential-stealing malware
[17] Analyzing OBSCURE#BAT: Threat Actors Lure Victims into Executing Malicious Batch Scripts to Deploy Stealthy Rootkits
[18] Auto Dealership Supply Chain Attack
[19] TURNING AID INTO ATTACK: EXPLOITATION OF PAKISTAN’S YOUTH LAPTOP SCHEME TO TARGET INDIA
[20] From Contagious to ClickFake Interview: Lazarus leveraging the ClickFix tactic
[21] New Evasive Campaign Delivers LegionLoader via Fake CAPTCHA & CloudFlare Turnstile
[22] Fake IT Support Website Leading to Vidar Infection
[23] 偽のエラーメッセージや偽のキャプチャ画面などを使ったソーシャルエンジニアリングについて
この記事を執筆したアナリスト
藤 聡子(To Akiko)
専門分野:脅威インテリジェンス
脅威情報の収集やデータ分析業務を担当。情報処理安全確保支援士(RISS)、CISSP Associateを保持。
