

「人間かどうかの確認」自体を危険と誤解してはならないが、不正な操作へと誘導されないように警戒が必要（写真：筆者提供）

【実際どんな画面が出る？】ClickFix攻撃で表示される偽の「確認メッセージ」とバリエーション

「私はロボットではありません」のチェックボックスは、日常のウェブ閲覧でよく見かける。この見慣れた表示を悪用する「ClickFix（クリックフィックス）」と呼ばれるサイバー攻撃が、2024年から世界的に拡大している。2024年12月からの半年間で、世界の検知数が前期比で約6倍、日本では約9倍に急増したという報告もある。



個人のサイバー犯罪者から北朝鮮やロシア、イランなどの国家支援組織まで、あらゆる攻撃者がClickFixを次々と採用し始めている。攻撃対象は個人から企業、防衛産業組織を含む国家安全保障に関わる領域まで広域に及ぶ。

こうした状況を受け、各国当局も相次いで警戒を強めている。シンガポールのサイバーセキュリティ庁（CSA）は2025年7月10日、金融、製造、公共、小売、エネルギーなど幅広い業種での被害を確認し注意喚起した。アメリカでは7月22日にCISAやFBIなどが合同アドバイザリを公開、日本の警視庁も9月10日に注意を呼びかけている。

日常の"慣れ"を狙う手口

ClickFixの脅威は、日常的なウェブサイト閲覧中に突如現れる。「ページを正しく表示するには修復ボタンを押してください」といった偽のメッセージや、「あなたは人間ですか？」などの「CAPTCHA」（キャプチャ）と呼ばれる確認を装った偽画面が表示され、クリックを促される。

ユーザーはこれらを正規の手続きと誤認してしまう。本物の画面を精巧に模倣したものもあり、一般ユーザーが見分けることは極めて困難だ。



ClickFix攻撃で表示される偽の「確認メッセージ」とバリエーション。ほかにも多数存在する（写真：筆者提供）

これらをクリックすると、不正な命令がクリップボード（コピー＆ペースト用の一時保存領域）に自動的にコピーされる。画面変化は一切なく、ユーザーが気付くことはできない。

続いて「操作を完了するには次の順でキーを押してください Windowsキー＋R、Ctrl＋V、Enter」といったキー操作の指示が表示される。指示のパターンは、これに限らずほかにも複数ある。



ClickFix攻撃で表示される偽の「操作指示」とバリエーション。ほかにも多数存在する。「Win+R」のキー操作は「ファイル名を指定して実行」（任意のコマンドを実行する入力欄）の表示、「CTRL+V」のキー操作はクリップボードからの「貼り付け」をそれぞれ意味する（写真：筆者提供）

これらの手順に従うと不正な命令が実行され、即座にマルウェアに感染する。感染するのは証券口座乗っ取りでも注目された「インフォスティーラー」と呼ばれる情報窃取型マルウェアが多く、ランサムウェアに感染するケースもある。

インフォスティーラーに感染すればパソコンで扱うあらゆるパスワードと情報が流出し、ランサムウェアではファイルが暗号化され業務継続が困難になる。ユーザー自身の手で行った操作であるため、セキュリティソフトが検知しにくいという特徴もある。

本人がだまされたことに気づいていないケースが多い

実例の1つとして、2024年後半には宿泊予約サイトBooking.comを装った攻撃が報告された。攻撃者は宿泊施設運営側へ「否定的なレビューへの対処」や「客からの連絡」などの偽メールを送信し、本文や添付ファイル内のリンクからClickFixへ誘導した。

ClickFixは手口の巧妙さゆえに、本人がだまされたことに気付いていないケースが多いと想定される。その後に起きるさまざまな被害の源流がClickFixであると特定しづらく、被害は表面化しにくい。公の報告事例は氷山の一角といえる。

正規サイトやSNSにも注意

ClickFixに遭遇するのは、偽サイトだけではない。一般の正規サイトでも被害に遭う可能性がある。

2025年2月、アメリカの理学療法関連の正規サイトにClickFixが表示された事例が報告されている。2025年3月にはアメリカコネチカット州の「LES Automotive」社でも同様の事案が発生。同社の動画共有サービスを利用する100を超える自動車ディーラーのサイトで、訪問者にClickFixが表示されるようになっていた。

これらは脆弱性が悪用され、サイトが改ざんされることで発生する。正規サイト自体にClickFixの不正コードが埋め込まれるため、URLも本物だ。サイトの運用側に脆弱性があれば、どのような正規サイトでも同様のリスクがある。

一方、脆弱性や改ざんがなくても、正規サイト上の広告欄から不正サイトへ誘導されるケースも存在する。検索サイトでは、検索結果の上位に表示される広告欄に潜む例もある。

偽サイトによるフィッシングは広く認知されているが、正規サイトや検索サイトからも偽の画面につながる可能性を想定できているユーザーは少ない。

SNSでも警戒が必要だ。お得な情報や儲け話を装いClickFixへ誘う日本語のポストを複数確認している。普段フォローしている公式アカウントが乗っ取られ、突然ClickFixへ誘導するポストが流れる事例もある。

ClickFixが従来のフィッシングと異なる点は、巧妙な心理操作と被害の深刻度にある。

「修正」や「確認」といった問題解決の文脈でユーザーの協力を求める点が特徴的だ。こうした流れはウェブ利用時に自然に受け入れられやすく、パソコン操作に自信があるユーザーほど自力解決を試みる傾向がある。

多くのユーザーは、入力には警戒するが、キー操作への警戒心は低い。急ぐ状況では、画面の指示に従いやすくなる。

被害の深刻度も大きく異なる。従来のフィッシングでは特定サイトのパスワード漏洩とそれに伴う被害が中心だが、ClickFixはマルウェア感染を直接引き起こす。

個人・法人を問わず、あらゆるパスワードや重要データが盗まれ、ランサムウェアでは業務が完全に停止する事態にまで発展する。1台の感染を起点として他のパソコンやサーバーへと2次被害が拡大し、個人情報漏洩から企業の存続危機に至るまで、顧客をも巻き込んだ深刻なリスクへと直結する。

対策は？「キー操作の指示」には要注意

どう対策をすればいいのか。組織対策では、社員の操作権限を必要最小限にするなどの技術的対策に加え、脅威の周知が重要となる。「人間かどうかの確認」は正常なサイトでも使用されるため、それ自体を危険と誤解してはならない。警戒すべきは、その確認の直後にキー操作の指示が表示される場合だ。

通常、複数キーの同時押しを要求されることはない。このような指示には決して従わないことが重要である。個人の対策では、普段利用するサイトへはブックマークからアクセスし、メールなどのリンク経由を避ける習慣が有効だ。

◎ClickFixでマルウェア感染につながる危険な3つのステップと注意点





ClickFix攻撃は技術的な脆弱性ではなく、人間を不正な操作へ誘導するだましの手口である。初心者は正規の手続きと信じて指示に従い、パソコンに自信がある者は自力解決を試みて罠に陥る。

より複雑な亜種も出現しており、詳しいユーザーが単純と軽視する油断も新たなリスクにつながる。最新の脅威を知り、不審な指示には従わないという原則を守ることが、最も確実な防御策となる。

（吉川 孝志 ： 三井物産セキュアディレクション フェロー／上級マルウェア解析技術者）