ClickFix攻撃とは?ユーザー自身にマルウェアを実行させる新手口
「ブルースクリーンが出たから、画面の指示通りに操作したらウイルスに感染した」
こんな被害が海外で急増しています。2024年12月、セキュリティ企業Securonixが「PHALT#BLYX」と名付けた新たな攻撃キャンペーンを報告しました。
この攻撃の特徴は、ユーザー自身の手でマルウェアを実行させるという点です。セキュリティソフトは「ユーザーが自分で実行したコマンド」を止めにくいため、従来の対策をすり抜けてしまいます。
| 項目 | 内容 |
|---|---|
| 攻撃名 | ClickFix(クリックフィックス) |
| キャンペーン名 | PHALT#BLYX |
| 発見時期 | 2024年12月 |
| 主な標的 | 欧州のホテル・旅行業界 |
| 攻撃者 | ロシア系と推定 |
| 最終的なマルウェア | DCRat(リモートアクセス型トロイの木馬) |
現時点では欧州が標的ですが、手口は日本でも通用します。今のうちに対策を打っておきましょう⚠️
攻撃の流れ(6ステップ)
ClickFix攻撃は、以下の流れでユーザーを騙してマルウェアを実行させます。
ステップ1:フィッシングメールが届く
Booking.comを装った偽メールが届きます。「予約がキャンセルされました」「1,000ユーロ以上の請求があります」など、緊急性と金銭的インパクトで焦らせる内容です。
ステップ2:偽サイトへ誘導
メール内のリンクをクリックすると、本物そっくりの偽Booking.comサイトに誘導されます。ロゴ、配色、フォントまで精巧に再現されており、見分けがつきません。
ステップ3:偽のエラー画面が表示
偽サイトで「読み込みに時間がかかっています」というエラーが表示され、「更新」ボタンをクリックするよう促されます。
ステップ4:偽のブルースクリーンが表示
「更新」をクリックすると、ブラウザがフルスクリーンになり、Windowsのブルースクリーン(BSOD)そっくりの画面が表示されます。
この時点で、悪意あるPowerShellコマンドがクリップボードにコピーされています。
ステップ5:「修復手順」に従わせる
画面に「問題を解決するには以下の手順を実行してください」と表示され、次の操作を指示されます。
1. Windowsキー + R を押す(「ファイル名を指定して実行」を開く)
2. Ctrl + V を押す(クリップボードの内容を貼り付け)
3. OK または Enter を押す(コマンドを実行)ステップ6:マルウェア感染
ユーザーが指示通りに操作すると、クリップボードに仕込まれていたPowerShellコマンドが実行され、マルウェアがダウンロード・実行されます。
最終的にDCRatというリモートアクセス型トロイの木馬に感染し、攻撃者がPCを遠隔操作できるようになります。
「ユーザー自身が実行する」のがポイント。だからセキュリティソフトをすり抜けるんです😰
なぜ危険なのか
ClickFix攻撃が危険な理由は3つあります。
1. セキュリティソフトが止めにくい
ユーザーが自分の意思でコマンドを実行しているため、セキュリティソフトは「正常な操作」と判断しやすく、ブロックされにくいです。
2. 正規のWindowsツールを悪用
マルウェアはMSBuild.exe(Microsoftの正規ビルドツール)を使って実行されます。これは「Living off the Land(環境寄生型)」と呼ばれる手法で、アプリケーション許可リストやウイルス対策をすり抜けます。
3. Windows Defenderを自動で無効化
感染後、マルウェアはWindows Defenderに除外設定を追加し、以降の検知を回避します。
| 感染後にできること | 影響 |
|---|---|
| キーロガー | パスワード・入力内容の窃取 |
| 画面キャプチャ | 機密情報の漏洩 |
| 追加マルウェアの投下 | ランサムウェアなど二次被害 |
| 遠隔操作 | 社内ネットワークへの侵入拡大 |
本物のBSODと偽物の見分け方
本物のブルースクリーンと偽物には明確な違いがあります。
| 項目 | 本物のBSOD | 偽物のBSOD(ClickFix) |
|---|---|---|
| 表示場所 | Windowsのシステム画面 | ブラウザ上(フルスクリーン) |
| 操作指示 | なし(エラーコードと再起動通知のみ) | 「Win+R」「Ctrl+V」など具体的な操作を指示 |
| マウス・キーボード | 反応しない | 反応する |
| ESCキー | 効かない | 押すとフルスクリーンが解除される |
| タスクバー | 表示されない | Alt+Tabで他のウィンドウに切り替え可能 |
本物のBSODは「何も操作できない」のが特徴。操作を指示してくる時点で偽物です🔍
社内SE・情シスが取るべき対策
対策1:ユーザー教育の徹底
最も重要な対策はユーザー教育です。以下のルールを全社員に周知してください。
【絶対にやってはいけないこと】
✗ 画面の指示に従って「Win+R」でコマンドを貼り付ける
✗ 「Ctrl+V → Enter」で何かを実行する
✗ PowerShellやコマンドプロンプトに指示されたコードを貼り付ける
→ これらを求める画面はすべて詐欺です対策2:ファイル拡張子の表示を有効化
マルウェアは拡張子を偽装することがあります。拡張子を常に表示する設定にしておきましょう。
【設定方法】
エクスプローラー → 表示 → 表示 → 「ファイル名拡張子」にチェック対策3:MSBuild.exeの監視
EDRやSIEMを導入している場合、MSBuild.exeの異常な実行を監視してください。
| 監視ポイント | 内容 |
|---|---|
| 実行元ディレクトリ | %ProgramData%など非標準の場所から実行 |
| 外部通信 | MSBuild.exeが外部IPへ通信 |
| プロジェクトファイル | .projファイルのダウンロード・実行 |
対策4:予約サイト系メールの運用ルール
ホテル・旅行業界は特に標的になっています。予約サイトからのメールは以下のルールを徹底してください。
【運用ルール】
・メール内のリンクはクリックしない
・公式サイト(ブックマークまたは直接URL入力)から確認する
・不審なメールは情シスに報告対策5:PowerShell実行ポリシーの制限
一般ユーザーに対してPowerShellスクリプトの実行を制限することも有効です。
【グループポリシーでの設定】
コンピューターの構成
→ 管理用テンプレート
→ Windowsコンポーネント
→ Windows PowerShell
→ 「スクリプトの実行を有効にする」→ 無効 または 署名済みスクリプトのみ
※業務でPowerShellを使う場合は影響を確認してから適用技術的な対策も大事ですが、一番効くのはやっぱりユーザー教育です。「コマンド貼り付けは詐欺」と覚えてもらいましょう📢
社内周知メールテンプレート
全社員向けの注意喚起メールテンプレートです。コピーして編集してご利用ください。
件名:【重要】偽のブルースクリーンを使った新型詐欺にご注意ください
各位
お疲れ様です。情報システム部の○○です。
海外で新たな手口のマルウェア攻撃が確認されており、
日本でも同様の攻撃が発生する可能性があるため、注意喚起いたします。
■ 攻撃の概要
・偽のメール(予約サイトなど)からリンクをクリック
・偽のブルースクリーン(青い画面)が表示される
・「修復するには以下の操作をしてください」と表示される
・指示に従うとウイルスに感染する
■ 絶対にやってはいけないこと
・画面の指示に従って「Windowsキー+R」を押さない
・「Ctrl+V」でコマンドを貼り付けない
・PowerShellやコマンドプロンプトに指示されたコードを入力しない
■ 見分け方
・本物のブルースクリーンは操作を指示しません
・操作を求めてくる時点で偽物です
・ESCキーで画面が消える場合は偽物です
■ 不審な画面が表示されたら
・何も操作せず、パソコンの電源を切ってください
・情報システム部(内線:○○○○)までご連絡ください
ご不明点がございましたら、情報システム部までお問い合わせください。
ご協力のほど、よろしくお願いいたします。よくある質問
Q. 日本でも発生していますか?
2025年1月時点では、主に欧州のホテル・旅行業界が標的となっています。ただし、ClickFix攻撃の手口自体は日本でも通用するため、今後日本を標的にしたキャンペーンが発生する可能性は十分にあります。
Q. ブルースクリーンが出たら再起動すればいい?
本物のブルースクリーンであれば再起動で復旧することがあります。ただし、操作を指示してくるブルースクリーンは偽物なので、何も操作せずにパソコンの電源を切るのが正解です。判断に迷う場合は情シスに連絡してください。
Q. セキュリティソフトで防げないのですか?
防げる場合もありますが、完全ではありません。この攻撃の特徴は「ユーザー自身が手動でコマンドを実行する」点にあります。セキュリティソフトはユーザーの意図的な操作を止めにくいため、ユーザー教育が最も重要な対策となります。
Q. 感染したかどうかはどう確認すればいい?
以下の兆候がある場合は感染の可能性があります。情シスに報告してください。
| 兆候 | 詳細 |
|---|---|
| PCの動作が急に重くなった | バックグラウンドでマルウェアが動作 |
| 見覚えのないプロセスが動いている | タスクマネージャーで確認 |
| Windows Defenderが無効になっている | 設定を変更された可能性 |
| スタートアップに不審な項目がある | 永続化されている可能性 |
まとめ
| 項目 | 内容 |
|---|---|
| 攻撃名 | ClickFix(PHALT#BLYXキャンペーン) |
| 手口 | 偽BSOD → コマンド貼り付けを指示 → マルウェア感染 |
| 危険性 | ユーザーが実行するためセキュリティソフトをすり抜ける |
| 見分け方 | 本物のBSODは操作を指示しない |
| 最重要対策 | 「コマンド貼り付けは詐欺」とユーザーに周知 |
ClickFix攻撃は、技術的に高度でありながら、最後はユーザーの行動に依存するという特徴があります。裏を返せば、ユーザーが「画面の指示でコマンドを貼り付けない」と知っていれば防げる攻撃です。
今のうちに社内周知を行い、被害を未然に防ぎましょう。
コメント