ClickFix攻撃とは何か？

🔴 ClickFixとは、偽エラー表示や偽CAPTCHA（reCAPTCHA）を使ってユーザーを騙し、PowerShellに悪意あるコマンドを直接貼り付けさせる攻撃手法です。
これは実際にWindows・Linux・macOS上で確認されており、しかもフィッシングに次ぐ「第二位」の攻撃手段として急成長しています helpnetsecurity.com+4globenewswire.com+4techradar.com+4。

この手法による感染後には、情報窃取マルウェア（インフォスティーラー）、ランサムウェア、リモートアクセスツール、仮想通貨マイナー、さらには国家支援と推測されるカスタムマルウェアまで多様に展開されるのが特徴です。

なぜ急増しているのか？

数字が証明する効果：2024年下半期と比べて、ClickFix攻撃の観測数はなんと500％以上（517％増） linkedin.com+7techradar.com+7helpnetsecurity.com+7。
防御をすり抜ける手口：ユーザーが「修正のため」と信じてPowerShellにコマンド入力するため、アンチウイルスやEDRを回避しやすい点が狙われています。

⚠️ 事例：TechRadarによると、この偽CAPTCHAの操作は「ユーザーを単純なコマンド入力で欺く」ことにより成功率が非常に高いとされ、その結果、Lumma Stealer、VidarStealer、StealC、Danabotなどのマルウェアが次々と落とされているとの報告があります globenewswire.com+2techradar.com+2helpnetsecurity.com+2。

インフォスティーラー（情報窃取マルウェア）の最新動向

ESETのレポートによれば、以下のような動きが確認されています：

SnakeStealer（旧Agent Tesla）：Agent Teslaを上回る検出率で、キーロギングに加えてスクリーンショット、クリップボード取得も可能。
Lumma StealerとDanabot：活動がそれぞれ21％／52％増加したものの、ESETなどの法的対策により破壊活動が進行中。

🔍 独自考察：ユーザー教育が最前線

ユーザー習熟度の限界：多くの人はPowerShellを理解しておらず、「直すため」と思えばコマンドをそのまま実行してしまうこともあります。
開発され続ける手法：偽CAPTCHAやエラー画面は無限に模倣でき、メール＋ウェブベースの誘導によって、初心者でも踏みやすくなっています。

このような“ユーザーに装った攻撃”に対抗するには、単なる技術的防御では足りず、組織や個人への継続的な環境教育やトレーニングが不可欠です。

モバイル&他カテゴリで見られる関連脅威

ESETのH1 2025レポートでは、ClickFix以外にも注目すべき動向がありました

Androidの広告収益型マルウェア「Kaleidoscope」：アプリの見た目に偽装し、侵入後は広告を大量表示し性能を低下させる。
NFCを狙った攻撃の急増：GhostTapやSuperCard Xなど、カード情報とデジタルウォレットを狙った攻撃が35倍以上に増加。

👉 特にNFC攻撃では、一部の犯罪組織がスマホに侵入し、タップ一つで被害者のカード情報を悪用できる態勢を整えており、決済手段の多様化に伴い攻撃パターンも深化しています。

企業・個人で実施すべき対策とは？

🔴 「気づかせる」ことが最大の武器になる。
ClickFixが成功する最大の要因は「ユーザー自身がコマンドを入力する」ことであるため、ソーシャルエンジニアリングの被害を減らすには、社員教育と警戒心の強化が何よりも重要です。

以下は効果的な防御策です：

疑似CAPTCHA画面や「エラー修正ツール」に注意
本物のreCAPTCHAはGoogleドメイン以外で出現しません。見知らぬドメインで表示された時点で注意を。
PowerShell実行権限の制限
Windows環境では、管理者以外のユーザーがPowerShellを利用できないように制限設定することが効果的です。
クリック前の確認文化を定着させる
「修正しますか？」「今すぐ更新」などのメッセージは一旦立ち止まり、送信元やドメインをチェックしましょう。
EDR／XDRツールの導入
単なるアンチウイルスだけではなく、振る舞い検知型のエンドポイント監視が有効です。特にPowerShellスクリプトを利用するマルウェアに対応したツールを選びましょう。
セキュリティ部門の内部訓練
わざと偽メッセージやフィッシングサイトを用意し、従業員の対応力をテストする「レッドチーム演習」も有効です。