「コピペ」で終わる社内システム　PowerShellを悪用する“自爆攻撃”の手口とは：攻撃数5倍増

高価なセキュリティ製品を導入しても、防ぎ切るのが困難な攻撃がある。従業員が自ら攻撃者の指示通りにコマンドを実行してしまう「ClickFix」だ。この脅威の手口と、IT部門が講じるべき対抗策を解説する。

≫ 2025年12月24日 18時00分公開

サンドボックスも無力化する“自発的操作”のわな

併せて読みたいお薦め記事

ClickFixの関連記事

　NCC Groupは「ClickFixは、従来の防御を回避できるようになっている」と警告する。メールフィルタやサンドボックスといった自動解析ツールは、ユーザーの「自発的な操作」という要素をシミュレーションしきれない場合があるためだ。

　具体的な手口はこうだ。攻撃者はまず、Webサイト上に「Chromeの更新が必要です」や「Wordの表示エラー」といった偽のアラートを表示する。解決策として「修正するにはここをクリック」と誘導し、クリックするとクリップボードに悪意あるPowerShellスクリプトがコピーされる。その後、ユーザーにターミナルを開かせ、「貼り付け」と「Enter」を押すよう指示する。

　ユーザーからすれば「PCの不具合を直そうとした」だけだが、実際には自分の手でマルウェアを招き入れていることになる。

　ClickFixを利用する攻撃者は、脆弱性悪用ツールによる「初期アクセス」を開拓する「初期アクセスブローカー」（Initial Access Broker：IAB）を利用する。それだけでなく、ClickFixなどで直接侵害したPCや端末の操作権限をランサムウェア集団に販売するエコシステムで活動している。

　NCC Groupのレポートは、ClickFixを使った作戦についても言及している。2025年4月から数カ月間発生した攻撃で標的となったのはホスピタリティ業界だった。従業員を標的として、複数のホテルチェーンに「インフォスティーラー」という情報窃盗に特化したマルウェアを拡散させた。その後、リモートアクセス型のトロイの木馬（RAT：Remote Access Trojan）を使用して、ホテル側が保有していたBooking.comにひも付く認証情報を盗み、ゲストに偽のメールやWhatsAppのメッセージを送信し、フィッシング攻撃を仕掛けた。

　別のキャンペーンでは、北朝鮮と関係を持つ「持続的標的型脅威」（APT：Advanced Persistent Threat）グループ「Kimsuky」が、米国家安全保障補佐官を装って攻撃を仕掛けた。南朝鮮問題に関する会合を設定しようとし、被害者に偽の認証コードをPowerShellにコピー、ペーストさせるよう促した。

ClickFixを防ぐには

　ClickFixの攻撃を防ぐには、フィッシングメール、マルバタイジング、偽のCAPTCHAや認証画面にユーザーがアクセスする機会自体を減らすことが重要になる。そこで、メールや広告経由で偽のWebサイトへ誘導する経路をさまざまなツールを活用してブロックする。エンドポイント上で不正なプログラムやコマンドが実行されるのを防ぐための設定の強化も必須だ。ユーザーに「一方的なコピーやペーストの指示はサイバー攻撃の試みとして扱う」という意識を持たせることが重要だ。

油断しないことが大切

　「ビジネスリーダーは油断できない」。NCC Groupのマット・ハル氏（グローバル脅威インテリジェンスグローバルヘッド）はこう述べる。「脅威グループは急速に進化しており、警戒が緩むイベントシーズンを悪用している」

　「休暇が近づく中、疑わしい活動への警戒とセキュリティ態勢の強化は、これまで以上に重要だ」（ハル氏）

TechTargetジャパントップセキュリティ