ClickFix(クリックフィックス)とは?偽のBot確認で感染する巧妙な攻撃手法
Webサイトを閲覧中、「私はロボットではありません」といった認証画面が表示されたことはありませんか?実はその画面が偽物で、指示通りに操作することでマルウェアに感染してしまうという被害が報告されています。この手口は「ClickFix(クリックフィックス)」と呼ばれ、ユーザーの心理を巧みに利用した新たなサイバー攻撃です。
本記事では、「ClickFix」の仕組みと被害事例、そして対策方法について詳しく解説します。
ClickFixとは?
「ClickFix」とは、偽のBot確認画面など操作を指示する画面を通じてユーザー自らがPC操作を行うことで、気づかずにマルウェアをダウンロードさせる攻撃手法です。偽のBot確認画面の場合、ユーザーはロボットでなく人間がアクセスしていることを証明するために、画面の指示に従って操作をします。しかし、その操作はBotの確認などではなく、マルウェアを感染させるための手順です。このような攻撃はユーザー自らファイルの実行を行うため、セキュリティをすり抜けてしまう恐れがあります。
「ClickFix」による被害
Microsoft社によると、Booking.comを装った「ClickFix」攻撃が海外で確認されています。フィッシングメール内のリンクによってユーザーが偽サイトに誘導され、画面上に表示された偽のCAPCHA上で操作を行うことで、認証情報を盗むマルウェアに感染させる事例が報告されています。
出典:Microsoft Japan News Center「Booking.com のなりすましによるフィッシング攻撃が、認証情報窃盗マルウェアを配信」
CAPCHAとは、「Completely Automated Public Turing test to tell Computers and Humans Apart(コンピュータと人間を区別するための完全に自動化された公開チューリングテスト)」の頭文字を取ったもので、ユーザーがBotによるものか人間なのかを区別するためのものです。
- 画像が複数表示され「信号機の画像を選んでください」といった指示が表示される
- 歪んだアルファベットや文字が表示され、その内容を入力させる
このような操作を実際に行ったことがある方がほとんどではないでしょうか。
「ClickFix」はこういったCAPCHA画面を装っていることもあり、その画面上で特定の指示に従うようにユーザーを誘導します。CAPCHAを日常的に利用していると、疑うことなくその指示に従ってしまう恐れがあります。
「ClickFix」に感染させる仕組み
「ClickFix」の攻撃手法では、偽のCAPCHA画面が表示されることがあります。画面に表示される内容は、下記のような操作の指示です。
「私はロボットではありません」といった文面でクリックを促す
1.「windowsキー+Rキー押してください」
2.「Ctrl+Vキーを押してください」
3.「Enterキーを押してください」
通常のCAPCHAではこのような指示をされることはありません。これは、マルウェアをコピーしてコマンドを実行させるための手順です。
「windowsキー+Rキー」は「ファイル名を指定して実行」のショートカットキー、「Ctrl+Vキー」は「貼り付け」ショートカットキー、そして「Enterキー」は実行を行うものです。この指示の通りに操作をすることで、マルウェアがダウンロードされてしまいます。
また、上記以外の指示がある可能性もあるため、「キー操作だから怪しい」という認識は危険です。まずは、「こういったキー操作を促すものもある」と捉えていただければと思います。
ClickFixの被害に遭うとインフォスティラーのようなマルウェアに感染
感染するマルウェアは様々ですが、中でも多いとされているのが「インフォスティーラー」です。「インフォスティーラー」は、感染した端末に保存されている情報を窃取するマルウェアの一種です。クレジットカード情報やアプリのログイン情報、スクリーンショットなども収集され、すぐに直接的な被害に繋がってしまいます。
このように非常に危険なマルウェアに感染してしまう恐れもあるため、「ClikFix」に引っかからないこと、そしてマルウェア感染を想定した予防策を事前に講じておく必要があります。
「インフォスティーラー」の危険性と対策については、こちらの記事もご覧ください。
派生型「FileFix」にも注意
「ClickFix」の派生型として「FileFix」という攻撃手法も登場しています。「FileFix」の攻撃手法は、ファイルエクスプローラーのアドレスバーからマルウェアを実行させるものです。
「ClickFix」では「windowsキー+Rキー」で「ファイル名を指定して実行」を指示しますが、「FileFix」の場合はエクスプローラーを開くように画面上で誘導した後、「Ctrl+Lキー」で「アドレスバーにフォーカス」させます。そしてアドレスバーにコピーされたコマンドが貼り付けられ、「Enter(実行)」を押すことでマルウェアがダウンロードされます。
「ClickFix」対策まとめ
最近観測される攻撃手法の一つに「ClickFix(クリックフィックス)」があります。見慣れた「Bot確認」や「CAPTCHA」を装い、「指示に従えば先に進める」という利用者の習慣的反応を悪用して、マルウェア実行を誘導する攻撃です。以下は、技術的な細部に踏み込みすぎず、人ベースの運用観点に絞った対策まとめです。
・まずはひとり一人が攻撃手法を知ること
アクセスしたいページを閲覧するための手順として指示をされると、ついつい手が動いてしまいます。「ClickFix」はその心理状態を利用した攻撃です。マルウェア感染を防ぐためには、日常的に操作する「Bot確認」などが悪用され、マルウェア感染の入り口となるかもしれないと、あらかじめ知っておくことが大切です。
・安易に画面指示に従わない
「コピーして貼り付けてください」「実行してください」など、普段は求められないキー操作や手順を要求する画面は要注意です。流れで操作してしまう前に、一旦立ち止まり内容をよく確認する習慣をつけましょう。
・“報告”を当たり前にする
不審な画面に出会ったり、誤って指示に従ってしまった場合は、ためらわずに社内の窓口へ報告してください。早めの共有が組織全体の被害拡大を防ぎます。
・メール訓練も有効
多くのClickFixはフィッシングメールから偽サイトへ誘導する流れで始まります。フィッシングメールからのアクセスを防ぐために、継続的なメール訓練を実施し、疑わしいメールへの対処を習慣化することが重要です。
メール訓練のノウハウと
効果的な進め方教えます
