ClickFix

ClickFixとはソーシャルエンジニアリング攻撃の一種で、一見本物に見えるWebページなどを使ってユーザーを欺き、悪意あるコマンドを実行するよう仕向ける手法のことを指します。2024年初頭に登場し、近年では幅広い攻撃で利用されるようになりました。

ClickFixにはさまざまな形態がありますが、代表的なのは以下の2種類です。どのタイプについても、ソフトウェアの脆弱性を悪用するのではなく、「ユーザー自身にコマンドを実行させる」という点を特徴としています。

• 偽の「エラー」を修正させるもの：標的ユーザーの画面に、「エラーが発生しています」などの警告文を表示し、この偽のエラーを「修正（Fix）するため」との口実で、悪意あるコードを実行するようユーザーを誘導するタイプのClickFixです。具体的には、エラー修正の手順として、①まずPowerShell（Windowsの場合）またはTerminal（Macの場合）を開かせ、②画面上の「修正用コマンド」と称した悪性コマンドをコピーさせ、③コピーしたコマンドを①のPowerShellまたはTerminalで実行させる、というものです。

• 偽のCAPTCHA画面を使用するもの：「ロボットではないことを証明してください」などと記されたCloudflare TurnstileやGoogle reCAPTCHAを模倣したページを模倣し、「認証手順」であると欺いて同様に悪性コマンドをコピーさせ、PowerShellまたはTerminalにペーストして実行させようとします。

このほかにも、PowerShellではなくWindowsのファイルエクスプローラーで悪性コマンドを実行させる「FileFix」という発展形など、さまざまなClickFix手法が存在しています。

ClickFix系の手法はさまざまなマルウェアキャンペーンで使用されており、ランサムウェアグループなどの金銭的動機を持つサイバー犯罪グループから、国家を背景とするAPTグループまで、多様な脅威アクターにより採用されているのが観測されています。