「人間か確認します」と表示される偽のCAPTCHA画面に従うと、知らぬ間にPowerShellでマルウェアが実行される──。2024年から急拡大したClickFix(クリックフィックス)攻撃は、2026年にはフィッシングと並ぶ主要な配送経路になりました。仕組みと、個人・組織の両方でできる対策をやさしく解説します。
「私はロボットではありません。続けるには下記の手順を実行してください」 ──こんな見出しの画面を、Webサイト閲覧中に見かけたことはないでしょうか。
一見ただのCAPTCHA認証ですが、画面の指示は「Windowsキー+R を押して、貼り付けて、Enterを押してください」。指示通りに動かすと、その瞬間、あなたの端末にマルウェアがダウンロードされます。
これがClickFix(クリックフィックス)攻撃です。Microsoft、Proofpoint、Sekoia、ESETといった主要セキュリティベンダーが2024年から繰り返し警告を発し、2026年現在はメール添付や偽リンクと並んでマルウェアの主要な配送経路の一つになっています。
ClickFixとは何か:「自分で実行させる」攻撃
ClickFixは、被害者を騙してユーザー自身の手でマルウェアを実行させる攻撃手法です。
従来のフィッシングは、添付ファイルを開かせたり、偽サイトでパスワードを入力させたりする方式でした。これらはメールゲートウェイやアンチウイルス、ブラウザのセーフブラウジング機能で大半を止められます。
ClickFixの巧妙さは、技術的な防御層を「人間の操作」によって完全にすり抜ける点にあります。
| 項目 | 従来のフィッシング | ClickFix |
|---|---|---|
| 配送経路 | 添付ファイル / 偽リンク | 偽のCAPTCHA・偽のエラー画面 |
| 実行主体 | ファイルを開いた瞬間 | ユーザー自身がコマンド実行 |
| 検知のしやすさ | アンチウイルスが検出可 | ユーザー操作のため検出困難 |
| 必要な被害者の操作 | クリック | コピー&ペースト+Enter |
最後の行が決定的です。「ユーザーが自分で powershell.exe を起動した」 ──OSやセキュリティ製品から見れば、それは正規の操作にしか見えません。
攻撃の流れ:5ステップで見るClickFix
実際の攻撃は、次のような流れで進みます。
ステップ1:信頼されたサイトに偽の警告を表示
攻撃者は、Webサイトに罠を仕掛けます。よくあるパターンは3つです。
- 改ざんされた正規サイト:人気のニュースサイトやブログにスクリプトが注入され、訪問者にだけ偽の画面が出る
- マルバタイジング:広告ネットワーク経由で偽広告を配信、クリック先で偽CAPTCHAを表示
- 偽のドキュメント共有リンク:メールやSNS経由で「ファイルを開くには認証が必要です」と誘導
ステップ2:「人間か確認します」の画面を表示
被害者の画面に表示されるのは、Cloudflare TurnstileやGoogle reCAPTCHAそっくりの偽画面です。書かれている文言は概ねこんな具合です。
「ボットではないことを確認するため、以下の手順を実施してください。」
- キーボードで Windows + R を押す
- Ctrl + V で貼り付ける
- Enter を押す
実はこのページを表示した瞬間、JavaScriptが裏で悪意あるコマンド文字列をクリップボードに自動コピーしています。被害者から見れば「Ctrl+V」は何の不思議もありませんが、貼り付けられる中身は攻撃者が用意した命令そのものです。
ステップ3:「ファイル名を指定して実行」が起動
Win + R で開くのは、Windowsの 「ファイル名を指定して実行」 ダイアログ。ここに何を打ち込んでも、ユーザー権限で即座に実行されます。
通常、PowerShellやmshta.exeを直接呼び出すコマンドが貼り付けられますが、見た目は長い文字列の羅列で、技術者でも一瞬では意味を読み取れません。
ステップ4:PowerShellがリモートから本体を取得
実行されるコマンドは、典型的には次のような構造です(動作の概念のみ示します。具体的な実行可能コードは記載しません)。
[難読化された呼び出し]
↓
PowerShellが起動(ウィンドウは非表示)
↓
攻撃者サーバーへHTTPS接続
↓
本体マルウェアを取得しメモリ上で実行ファイルとしてディスクに書き込まずメモリだけで動くため、署名ベースのアンチウイルスでは捉えにくいのが特徴です。
ステップ5:インフォスティーラーが情報を持ち去る
最終的にインストールされるペイロードは時期や攻撃者によって異なりますが、現在多く観測されているのは次のようなマルウェアです。
| 種別 | 主な動作 |
|---|---|
| インフォスティーラー(Lumma、Vidar、StealCなど) | ブラウザ保存パスワード・Cookie・暗号資産ウォレット鍵を窃取 |
| RAT(Remote Access Trojan) | 遠隔操作のバックドアを設置 |
| ローダー | 別のマルウェアを順次ダウンロード |
特にCookieを盗まれると厄介で、二要素認証(MFA)を突破した状態のセッションごと攻撃者の手に渡るため、パスワードを変えるだけでは防ぎきれません。
なぜ既存の防御をすり抜けるのか
ClickFixが2026年に主流化したのは、多層防御の「死角」を正面から突いているからです。
添付ファイルではないため、メールゲートウェイで止まらない
リンク先のページ自体は、HTMLとJavaScriptしかありません。実行ファイルは存在しないので、メールゲートウェイのサンドボックス検査では「無害」と判定されます。
Webブラウザは「ただページを表示しただけ」
Chrome、Edge、Safariのいずれも、ページ表示そのものをマルウェア配信とは判定しません。クリップボードへの書き込みも、JavaScriptに認められた正規のAPI呼び出しです。
コマンド実行はユーザー権限の正規操作
EDR(エンドポイント検知)から見ると、powershell.exe を起動したのはサインイン中のユーザー本人。ふだん業務でPowerShellを使う人ならば、なおさら不審なシグナルになりません。
教育を受けた人でも騙されやすい
「メールの添付は開かない」「不明なリンクはクリックしない」──こうした基本ルールは多くの組織で浸透しています。しかしClickFixは、あなたの操作で問題を解決してくださいというメッセージを装うため、ITリテラシーの高い人ほど「自分の判断で対処している」つもりで罠にかかります。
ClickFixを見抜く5つのチェックポイント
幸い、ClickFixには共通する強い違和感があります。次の5つのうち1つでも当てはまれば、画面を閉じて構いません。
- 「Windowsキー+R」「ターミナルを開いてください」と指示される:正規のCAPTCHAやWeb認証で、OSのコマンド実行を求めるものは存在しません
- 「コピーしたものを貼り付けてください」と書かれている:自動でクリップボードに何かが入る前提の指示は、ほぼすべて攻撃です
- 手順が「Win+R → Ctrl+V → Enter」と妙に丁寧:本物のサービスがOSの操作手順を細かく書くことはありません
- エラー画面・更新画面・ブラウザ警告を装っている:「Chromeを更新してください」「DNS設定が必要です」など、不要な技術操作を求めてくる場合は要注意
- コピーされた中身に
powershellmshtacurliwrなどが含まれる:貼り付ける前に、メモ帳に貼って中身を確認するだけで判別できます
迷ったら、何も実行せずブラウザのタブを閉じる。これだけで被害は防げます。
個人ユーザーが今日からできる対策
完全に自衛するのは難しいですが、リスクを下げる現実的な工夫があります。
Win + R の「ファイル名を指定して実行」を意識する
普段使わない機能なら、「呼び出された=何かおかしい」と認識する習慣をつけるだけで大きく違います。家族や同僚にも、Win+Rを押すよう求める画面はすべて詐欺だと思ってよいと共有してください。
ブラウザにパスワードや決済情報をなるべく残さない
パスワードマネージャーを別アプリで使い、ブラウザの「保存されたパスワード」を最小限にしておくと、万一インフォスティーラーに侵入された場合の被害も抑えられます。
重要サービスはパスキーに切り替える
メール、銀行、クラウドストレージなど、被害が大きいアカウントは可能な限りパスキーへ移行すると、Cookieを盗まれてもサインインの再現が難しくなります。
怪しい画面に出会ったら:すぐ閉じて、入力中だった内容は捨てる
その時点でタブを閉じれば、まだ何も実行されていません。クリップボードに変な文字列が入っている可能性があるので、メモ帳などに無害なテキストをコピーし直してから、他のアプリで貼り付け作業を行ってください。
組織が取るべき防御策
組織側はユーザー教育だけに頼らず、「実行されても被害を最小化する」設計まで踏み込む必要があります。
1. PowerShellの実行ポリシーとログ強化
| 設定 | 効果 |
|---|---|
| ConstrainedLanguageモード | スクリプトで使える機能を最小化し、難読化ペイロードを実行不能に |
| Script Block Logging(イベントID 4104) | 実行された全PowerShellコードをSIEMに送信 |
| AMSI(Antimalware Scan Interface)有効化 | メモリ上のスクリプトもアンチウイルスがスキャン可能に |
2. Win + R 経由の起動を監視ルール化
EDRで「explorer.exe から powershell.exe / mshta.exe / cmd.exe が短時間に起動」というプロセス系統を高優先度のアラートに設定すると、ClickFixの実行を最初の数秒で検知できます。
3. アウトバウンド通信の制御
エンドポイントから未知のドメインへの直接HTTPS接続を許可しないだけで、ペイロードの取得を阻止できます。プロキシ経由+脅威インテリジェンスによる既知悪性ドメイン遮断が基本です。
4. ブラウザのクリップボードAPI監視
主要EDRは、Webページが書き込んだクリップボード内容に powershell やBase64文字列が含まれた場合に警告するルールを提供し始めています。導入済みの製品で機能が眠っていないか、運用設定を確認しましょう。
5. ユーザー教育のアップデート
「不審なリンクをクリックしない」だけでは2026年の脅威に追いつけません。OSのコマンドを実行させる画面に出会ったら、即タブを閉じるという具体的な行動指針を、フィッシング訓練と並行して社内に浸透させてください。
まとめ:ClickFixはどこまでも「人」を狙う
ClickFix攻撃の本質は、技術的な脆弱性の悪用ではなく、「あなたが自分で問題を解決しようとする善意」を逆手に取るソーシャルエンジニアリングです。
そのため、対策も「画面に表示された手順を信じない」というユーザー側の行動規範と、「ユーザーが間違えても被害が広がらない」という組織側の多層防御の両輪が欠かせません。
この記事のポイント:
- 「Win+Rを押してEnter」と指示する画面はすべて攻撃と疑う
- 重要サービスはパスキーへ、ブラウザに機微情報を保存しない
- 組織はPowerShellロギング・EDR監視・クリップボード警告の3点をまず点検する
技術が成熟するほど、攻撃者の標的は「使う人」に向かいます。CyberLensの個人セキュリティやフィッシング・ソーシャルエンジニアリングの解説も合わせて、防御の引き出しを増やしてください。
参考情報 本記事は Microsoft Threat Intelligence、Proofpoint、Sekoia、ESET、CISA の公開分析および BleepingComputer、The Hacker News の報道をもとに構成しています。攻撃の再現に直接利用できる具体的なコマンドやペイロードは意図的に省略しています。本記事の対策はあくまで一般的な情報提供であり、各組織の環境に合わせた検証のうえで適用してください。