インフォスティーラーの流行に「ClickFix」が影響？ その厄介な手口と対策とは：古典的だが対策が困難な手口

証券口座への不正アクセスの一因とされるインフォスティーラー。その感染手段として浮上した「ClickFix」とは何なのか。その具体的な手口や対策を解説する。

[山根厚介，雨輝ITラボ（リーフレイン）]

　2025年、証券口座の不正アクセス被害が全国的に広がった。楽天証券、SBI証券、野村証券など複数の証券会社で、顧客アカウントの乗っ取りによる不正売買が発生。金融庁の統計によると、証券会社のインターネット取引サービスにおける、同年1〜8月の不正アクセス件数は約1万5400件、不正取引件数は8700件超に上った。こうした不正アクセスに、攻撃者は「インフォスティーラー」という情報窃盗に特化したマルウェアを活用しているとみられる。

　インフォスティーラーは、どのような経路で感染するのだろうか。その一つだと考えられているのが「ClickFix」という攻撃手法だ。ClickFixは少なくとも2024年初頭には存在していたとみられており、従来のセキュリティ対策では防ぐことが難しい特徴を持つ。

　本稿はClickFixの概要や手口、そして具体的な対策を解説する。

ClickFixとは

　ClickFixは「ソーシャルエンジニアリング」の要素を取り込んだ攻撃手法の一種だ。ソーシャルエンジニアリングとは、人間の心理的な脆弱（ぜいじゃく）性を突いて情報を引き出す攻撃手法を指す。

　ソーシャルエンジニアリングの例としては、うそをついて認証情報を聞き出す「プレテキスティング」、肩越しに入力を盗み見る「ショルダーハッキング」、廃棄機器や書類から情報を得る「ダンプスターダイビング」などがある。ソーシャルエンジニアリングは必ずしも電子的な手段に頼らず、PCの普及よりも前から存在する古典的手法だ。

ClickFixの基本的な手口

併せて読みたいお薦め記事

巧妙化する脅威　その傾向と対策

• 証券口座だけじゃない　企業も狙う「インフォスティーラー」の仕組みと対策
• “224万人流出”の衝撃　米スーパーを襲った「ランサムウェア」の深刻な現実

　ClickFixは標的とするエンドユーザー（以下、標的）をだまして、正規の操作で有害な命令を実行させる。例えば標的がMicrosoftのクライアントOS「Windows」の搭載PCを使用している場合、そのPCに何らかのエラー画面を表示。標的が困っているところに偽の「解決方法」画面を提示し、以下のような手順での操作を促す。

1. 「Fix」（修正）ボタンをクリックしてください
   • この操作によって悪意のあるスクリプトがクリップボードにコピーされる。
2. 「Windows」キーと「R」キーを同時押ししてください
   • この操作によって「ファイル名を指定して実行」のダイアログボックスが開く。
3. 開いたウィンドウ内で「Ctrl」キーと「V」キーを同時押ししてください
   • この操作によって、ファイル名を指定して実行の「名前」欄に、悪意のあるスクリプトが入力される。
4. 「Enter」キーを押してください
   • この操作によって悪意のあるスクリプトが実行されてしまう。

　標的が上記の手順を踏むと、悪意のあるスクリプトはWindowsのコマンドラインインタフェース「PowerShell」を起動させ、インフォスティーラーなどのマルウェアを実行する。実際の操作は標的自身が実行することから、従来のセキュリティツールは脅威として検出しにくい。この特徴が、ClickFixを危険な存在にしている。

　ちなみにClickFixという名称は、攻撃者が標的にクリックを促す偽画面中のボタンに、「Fix」「Fix it」（修正する）などのラベルを使うことがよくあることに由来する。

　ClickFixの手口は多岐にわたる。原稿執筆時点で確認できている例は以下の通りだ。

• 「Webページが表示できない」と通知し、偽の解決策を提示する
• 偽の「CAPTCHA」（人間の操作か否かを判定する仕組み）を表示する
• メールの添付ファイルの開封時にエラーを表示し、その後に偽の解決策を提示する
• Web会議ツールの利用時に「マイクやカメラに異常がある」と通知し、偽の解決策を提示する

　インフォスティーラーの被害が広がる中、その感染経路の一つとみられるClickFixへの警戒は怠れない。Proofpointなどのセキュリティベンダーは、北朝鮮やイラン、ロシアなどの攻撃者グループによるClickFixの利用を観測したと報告している。今後はさらに洗練された手口で、ClickFixの被害が拡大する懸念がある。

ClickFixへの対策

　ClickFixへの対策として、まずは基本的な注意が欠かせない。セキュリティ担当者は、不審なメールやポップアップなどを開かないように、従業員に注意を促すことが重要だ。PowerShellが不要な部署では、使用の制限を検討するとよい。

　セキュリティツールによるClickFix対策としては、「EDR」（エンドポイント脅威検知・対処）ツールなどのエンドポイントセキュリティツールだけでは十分とはいえない。エンドポイントセキュリティツールは、プログラムの不審な挙動の検出に有効ではあるものの、ClickFixのように標的の正規操作を悪用する手口には限界があるからだ。

　ClickFixの典型的な攻撃経路にメールがあることから、フィッシング対策などのメールセキュリティツールは見直しの価値がある。Menlo Securityのセキュアブラウザ「Menlo Secure Cloud Browser」は、メールのリンクや添付ファイルを同社のクラウドインフラで隔離・検証し、安全なコンテンツのみをエンドユーザーに届けられるようにする。イスラエルのResecが開発し、インテリジェントウェイブが国内で提供するコンテンツ無害化（CDR：Content Disarm and Reconstruction）ツール「Resec」は、受信ファイルを分解・再構築して、危険要素を除去した複製ファイルを生成する。

---

　今後、ClickFixの手口は変化する可能性がある。動向を注視し、適切なセキュリティツールを選択することが重要だ。