CyberFix Note偽のCAPTCHAにコマンドを貼り付けさせるClickFix
対象の目安: 一般利用者から情報システム担当まで
ClickFixは、利用者をだまして利用者自身に不正なコマンドを実行させる社会工学の手口です。攻撃者がマルウェアを直接送り込むのではなく、偽のCAPTCHA(「私はロボットではありません」のような認証画面)や偽のエラー画面を見せ、画面の指示どおりに操作させることで、最終的に利用者が自分の手でコマンドを走らせます。マルウェア単体を指す名称ではなく、感染に至るまでの誘導の型を指す呼び名だと理解すると、後述する防御の考え方がつかみやすくなります。
この手口が広く問題になった経緯は、複数の一次情報で確認できます。Microsoftは2025年8月のブログでClickFixの技術分析を公開し、米連邦取引委員会(FTC)は2026年6月に消費者向けの注意喚起を出しました。日本では警察庁が2025年10月にサイバー警察局便りで「『私はロボットではありません』偽画面に注意!」として呼びかけています。同じ手口が一般利用者と組織の双方を標的にしているため、本記事は両者に向けて仕組みと対処を整理します。
攻撃者が利用者にコマンドを実行させるまでの流れ
ClickFixの一連の動きは、行為者である攻撃者の操作と、それに誘導される利用者の操作が交互に進む形で起きます。攻撃者はまず、改ざんした正規サイト、検索連動広告(マルバタイジング)、偽のインストール手順やソフト更新の案内などを使って、利用者を攻撃者の用意したページへ誘導します。Microsoftの分析では、誘導先のページはCloudflare TurnstileやGoogle reCAPTCHA、Discordといった見慣れたサービスの認証画面を装うと報告されています。
利用者が認証ボタンを押すと、ページに仕込まれたJavaScriptが不正なコマンドを利用者のクリップボードへ書き込みます。この段階では画面に何も起きていないように見えるため、利用者はコマンドがコピーされたことに気づきません。続けてページは、認証を完了させるための「手順」と称して、Windowsキー+Rを押す、Ctrl+Vで貼り付ける、Enterを押す、という操作を指示します。
利用者がこの指示に従うと、Windowsキー+Rで開いた「ファイル名を指定して実行」にクリップボードの中身が貼り付けられ、Enterで実行されます。実行されるのはPowerShellやmshtaといった、Windowsに標準で備わり署名済みで信頼されているプログラムを呼び出すコマンドです。Microsoftは、PowerShellが最も多用される正規バイナリであり、iwr(Invoke-WebRequest)やirm(Invoke-RestMethod)、iex(Invoke-Expression)といったコマンドレットが多く使われると指摘しています。これらは外部サーバーからスクリプトや実行ファイルを取得して動かすため、利用者の操作を起点に感染が完了します。
最終的に送り込まれるものは攻撃キャンペーンによって異なります。Microsoftは、情報窃取型のLumma Stealerを最も多いClickFixの最終ペイロードと位置づけ、ほかにAsyncRATやXwormなどの遠隔操作ツールも観測されたと報告しています。これらの情報窃取型は、ブラウザのCookieや暗号資産のウォレットといった保存データを狙います。FTCの注意喚起は、利用者が指示どおりに実行すると隠されたマルウェアが動き、メールやネットバンキングの認証情報が盗まれうると消費者向けに説明しています。
なぜ既存のダウンロード警告をすり抜けるのか
ClickFixが従来のダウンロード警告を回避しやすい理由は、感染経路の構造にあります。ブラウザのダウンロード警告は、ブラウザがファイルをダウンロードしたり、ダウンロードしたファイルを起動したりする場面で働く仕組みです。ClickFixでは利用者がブラウザ経由でファイルを保存せず、「ファイル名を指定して実行」にコマンドを貼り付けて自分の権限で直接走らせます。ファイルのダウンロードという監視対象の動作が発生しないため、その動作を前提にした警告は出にくくなります。ただしこれは検知が一切働かないという意味ではありません。MicrosoftはClickFixの誘導先ページをSmartScreenが警告する例を示しており、URLの評価や実行後のプロセス挙動からSmartScreenやMicrosoft Defenderが検知する場合もあります。回避されやすいのはファイルのダウンロードを起点にした警告であって、防御全体ではありません。
実行されるのがWindows標準のPowerShellやmshtaである点も、回避が成立する一因です。これらは正規の用途で日常的に使われる署名済みのプログラムであり、攻撃者が外部から持ち込んだ未知の実行ファイルではありません。攻撃者がOSに元からある正規ツールを目的外に悪用するこの手法はLOLBins(Living off the Land Binaries)と呼ばれ、ファイルの素性だけで悪性を判定する防御をくぐり抜けやすくなります。
ここで前提になるのは、機械的な防御を一段すり抜けるのは、利用者自身による実行という人の操作が間に挟まるからだという点です。Microsoftは、ClickFixが人の介在によって悪意あるコマンドを起動するため、従来型および自動化された防御をすり抜けることがあると述べ、EDRを有効にした環境でも2025年初頭に毎月数千台規模の端末でClickFixのコマンドが利用者によって実行されたと報告しています。ただしこれは防御製品が無力だという意味ではなく、利用者の操作という入口を経由する以上、技術的検知だけに頼ると取りこぼしが残るという条件付きの事実として捉えるのが正確です。
正規のCAPTCHAとの見分け方
見分けの基準は単純です。正規のCAPTCHAは、認証をブラウザの画面内で完結させます。歪んだ文字の入力や、信号機が写った画像の選択など、操作はページの中で済み、利用者にページの外で何かを実行させることはありません。FTCの注意喚起も、本物のCAPTCHAはページから離れさせたり端末上で何かを実行させたりすることはなく、キーボードショートカットを押させたりシステムの画面を開かせたり何かを貼り付けさせたりするものは偽物だと述べています。
したがって、認証画面や「エラーを修正するため」と称する画面が次のような操作を求めてきたら、その時点で偽物と判断してかまいません。
- Windowsキー+Rを押す指示:「ファイル名を指定して実行」を開かせる前段です。正規の認証がこの操作を求めることはありません。
- Ctrl+Vで貼り付ける指示:気づかぬうちにクリップボードへ書き込まれたコマンドを貼り付けさせる操作です。
- Enterで実行する指示や「Fix It」「修正方法」ボタン:貼り付けたコマンドを走らせ、感染を完了させる操作です。
ここで安心材料になるのは、ページを閲覧しただけでは何も実行されないという点です。クリップボードにコマンドが入っても、利用者が貼り付けてEnterを押さない限りコマンドは動きません。途中で違和感を覚えてページを閉じれば感染は成立しません。過度に恐れる必要はなく、求められた操作を実行しないという一点を守れば止められる手口だと理解しておきましょう。ただしこれはClickFixという手口に限った話です。閲覧しただけで脆弱性を突くドライブバイ攻撃など、利用者の操作を介さない攻撃は別に存在するため、改ざんサイトの閲覧一般が安全だという意味ではありません。
個人の対処
一般利用者がまず徹底すべきことは、認証画面やエラー画面の指示に従ってWindowsキー+Rやコマンドの貼り付けを行わないという原則です。警察庁の注意喚起も、認証画面で指示された不審な操作を安易に実行しないよう呼びかけています。前章の見分け方に一つでも当てはまったら、操作を止めてページを閉じます。
もし指示どおりにコマンドを実行してしまった場合は、感染した可能性がある前提で動きます。端末をネットワークから切り離し、業務端末であれば自己判断で操作を続けず情報システムの担当部署へ連絡します。情報窃取型マルウェアが最終ペイロードになることが多いため、メールやネットバンキング、主要なサービスのパスワードを別の安全な端末から変更し、多要素認証を設定しておきます。
組織の対策
組織側は、利用者教育と技術的な制限を組み合わせて、入口と実行の両面を狭めます。教育では、ClickFixが「正規の手順」を装うこと、Windowsキー+Rやコマンド貼り付けを求める認証画面は偽物であることを、具体的な画面例とともに周知します。社会工学全般の理解とあわせて行うと定着しやすくなります( あわせて読みたい ソーシャルエンジニアリングの手口と対策。なりすまし・プリテキスティング・テールゲーティングを原理から理解する あわせて読みたい フィッシングの手口と対策の基本。個人と組織でできることを徹底解説
技術面では、攻撃の流れの各段を止める設定を検討します。業務上の必要がない利用者に対しては、「ファイル名を指定して実行」につながるWindowsキー+Rの利用や、PowerShellの一般利用者による実行を制限します。PowerShellはスクリプトブロックログなどの監査を有効化し、iexでの外部スクリプト実行や難読化されたコマンドを検知できるようにします。EDRを導入し、PowerShellやmshtaが外部から取得したコードを実行する挙動を監視します。前述のとおりEDRを入れていても利用者の実行を完全には防げない場合があるため、検知と教育を併用する前提で設計します。
組織で確認したいポイント
- ClickFixの手口(偽CAPTCHA、Windowsキー+R、コマンド貼り付け)を教育に含めているか
- 業務上不要な利用者へのWindowsキー+RやPowerShell実行の制限を検討したか
- PowerShellのスクリプトブロックログなど実行ログの監査を有効にしているか
- EDRでLOLBins(PowerShellやmshta等)の不審な実行を監視しているか
- 感染疑い時の連絡先と初動手順を利用者に周知しているか
本記事の仕組みと統計はMicrosoft Security Blogの2025年8月21日の分析、見分け方と被害例はFTCの2026年6月の消費者向け注意喚起、日本国内の呼びかけは警察庁サイバー警察局の注意喚起にもとづきます。数値は各出典の表現に沿って記載しており、確認できない数値は記載していません。
最終的に感染を完成させるのは利用者自身の操作であるという構造が、ClickFixの厄介さであると同時に、防御の手がかりでもあります。認証画面やエラー画面がキーボードショートカットやコマンドの貼り付けを求めてきたら偽物だという一点を、個人は判断基準として持ち、組織は教育と実行制限と監査で裏打ちします。閲覧だけでは成立しない手口だからこそ、操作の直前で立ち止まれるかどうかが分かれ目になります。
出典・参考
関連する記事
ソーシャルエンジニアリングの手口と対策。なりすまし・プリテキスティング・テールゲーティングを原理から理解する
技術の脆弱性ではなく人の心理を突くソーシャルエンジニアリング。なりすまし、プリテキスティング、テールゲーティングといった代表的な手口の原理と成立条件、個人と組織でできる対策を、専門知識がなくても分かるように実務目線で解説します。
フィッシングの手口と対策の基本。個人と組織でできることを徹底解説
依然として被害が絶えないフィッシング詐欺について、典型的な手口とその進化、見破り方、個人と組織それぞれでできる対策、そして万一被害に遭ったときの対応までを、専門知識がなくても分かるように網羅的に解説します。
マルウェアの種類と感染の仕組みを理解する。ウイルス・ワーム・トロイ・RAT・スパイウェアの違い
マルウェアはひとくくりの「悪いソフト」ではありません。ウイルス・ワーム・トロイの木馬・RAT・スパイウェアといった分類が何を意味するのか、どこから感染し何をされるのかを、原理から噛み砕いて整理します。