ClickFixとは?偽CAPTCHAでコマンドを実行させる手口と実装者向けの検知・防御【2026年時点】
ClickFixは、偽のCAPTCHA画面や偽エラーを見せて「修復手順」を装い、利用者自身にWin+Rからコマンドを貼り付け・実行させるソーシャルエンジニアリング攻撃です。マルウェア本体を利用者がダウンロードするのではなく、クリップボードに仕込まれたコマンドを本人の手で走らせる点が特徴で、ファイル検査中心の防御をすり抜けます。この記事では、偽CAPTCHAからコマンド実行に至る攻撃連鎖、FileFixなどの亜種、RunMRUレジストリやプロセス系譜での検知、そしてPowerShell制御・AppLocker・EDR相関ルールといった実装者向けの防御を、優先度を付けて整理します。
目次
まとめ:ClickFixはユーザー操作を悪用する攻撃連鎖と実装側の防御優先度
ClickFixの核心は、正規のダウンロードやマクロを介さず、利用者にpowershell.exeやmshtaを直接実行させる誘導にあります。「ファイルを開かせない」型の防御だけでは止まりません。実装側でまず固めるのは、PowerShellの実行制御とログ取得、AppLockerやWDACによるスクリプトエンジンの許可制御、そしてEDRのプロセス系譜相関の3層です。利用者への注意喚起は入口を狭める補助であって、単独の防波堤にはなりません。
検知では、実行ダイアログの履歴が残るRunMRUと、explorer.exeからpowershell.exeが起動する不自然な親子関係が起点になります。攻撃はFileFixやWebDAV経由型へと枝分かれしており、単一の文字列シグネチャに依存する構えは早晩崩れます。組織としては、盗まれる資格情報の被害を局限するために多要素認証やISMSの運用と接続して考えるのが妥当です。
ClickFixの仕組みと偽CAPTCHAからコマンド実行に至る攻撃連鎖の全体像
ClickFixは3つの動作を連鎖させます。偽の確認画面で利用者を焦らせ、クリップボードに悪性コマンドを忍ばせ、キーボード操作で実行させる、という流れです。攻撃者はコード署名やダウンロードの警告を避けられ、利用者は「自分で入力した操作」と認識するため被害の自覚が遅れます。
攻撃の起点となる偽CAPTCHA・偽Windows Update・偽エラーの誘導画面
入口は複数あります。「私はロボットではありません」を模した偽のBot確認、偽のブラウザ更新、偽のドキュメント表示エラーなどで、いずれも「認証を完了するには次の手順を実行してください」と指示します。警察庁は2025年に偽のCAPTCHA画面への注意喚起を出し、トレンドマイクロも同年に多様な攻撃への悪用を報告しました。画面のデザインは正規サービスに酷似し、URLだけで真偽を見分けるのは困難です。
Win+Rとクリップボード改ざんを組み合わせるコマンド実行の流れ
典型手順は、Win+Rで「ファイル名を指定して実行」を開かせ、Ctrl+Vで貼り付け、Enterを押させる3ステップです。貼り付け内容は、偽ページのJavaScriptがnavigator.clipboardで事前に書き換えています。利用者は短い「確認コード」を貼ったつもりでも、実際には長いダウンロード実行コマンドが走る仕掛けです。表示上は無害な文字列に見せ、末尾に本命のコマンドを隠す手法も観測されています。
mshtaとPowerShellが担うコマンド実行とLOLBinの悪用
実行に使われるのは、OS標準の正規バイナリ、いわゆるLOLBinです。mshtaにリモートのHTAを読ませる型と、powershell.exeでiwr(Invoke-WebRequest)やirm(Invoke-RestMethod)でペイロードを取得しiex(Invoke-Expression)で即時実行する型が中心になります。rundll32・wscript・curlが使われる例もあり、いずれも「正規ツールの範囲内」で完結するため、実行ファイルの評判ベースの検知が効きにくいのが厄介な点です。
最終ペイロードのLumma Stealer・NetSupport RATへの感染
最終段は情報窃取型が目立ちます。Lumma Stealerは2024年終盤からClickFixを配信経路に採り、2025年に感染試行の増加が複数ベンダーから報告されました。ほかにNetSupport RAT、Latrodectus、銀行情報を狙うLampionなどが確認されています。盗まれるのはブラウザ保存の資格情報、Cookieやセッショントークン、暗号資産ウォレットで、多要素認証を回避するセッション奪取につながる点が実害を大きくします。
FileFixなど亜種の広がりとEDRテレメトリで見抜く検知の着眼点
ClickFixは単一の手口ではなく、実行トリガーを差し替えた派生が続きます。検知を1つの起点に固定すると取りこぼすため、痕跡が残る場所と挙動の相関で押さえます。
FileFixとWebDAV net use型など亜種への広がり
FileFixは、実行ダイアログの代わりにファイルエクスプローラーのアドレスバーへ貼り付けさせる派生で、研究者mr.d0xが2025年に概念実証を公開しました。さらに、net useでWebDAVをマウントしpowershell.exeやmshtaを経由しない亜種も登場し、スクリプトエンジン監視だけに寄せた防御を回避します。「Win+Rを塞げば安全」という前提は成り立ちません。
RunMRUレジストリに残る実行痕跡とLOLBin混入の見分け方
実行ダイアログを使う型なら、HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRUに入力履歴が残ります。ここはインシデント後の有力な調査源です。値にpowershell・mshta・rundll32・wscript・curl・wgetといったLOLBinが混ざっていれば、手動実行を伴う侵害を疑います。逆に、痕跡を嫌う攻撃者はWin+Xのメニューからターミナルを開かせ、RunMRUを避けるため、この経路の空白も見落とせません。
explorer.exeからpowershell.exeが起動するプロセス系譜の検知
挙動側の強いシグナルは親子関係です。explorer.exeが直接powershell.exeやmshtaを起動する系譜は、通常のアプリ操作では稀で、EDRやWindowsイベントで捕捉できます。Event ID 4688(プロセス作成)で親がexplorer.exeのスクリプト実行を洗い出し、Win+X型はEvent ID 4663でWinXメニュー配下フォルダへのアクセスと相関させます。単発のプロセス名ではなく、系譜と直後の外部通信をひとまとまりで見るのが検知の勘所です。
クリップボードの貼り付け内容とコマンド文字列を突き合わせる監視
入口に近い層では、クリップボード経由の異常を拾えます。ブラウザ操作の直後に、長いエンコード文字列やLOLBin名を含む内容が貼り付けられ、そのまま実行に至る流れは正常業務ではまず起きません。DLPやEDRのクリップボード可視化機能があれば、貼り付け文字列とその後の子プロセス起動を突き合わせる相関ルールが有効です。ここは万能ではなく、あくまでプロセス系譜検知を補う二次シグナルと位置づけます。
ClickFix対策で実装者が先に固める防御と過剰になりやすい線引き
対策は数を並べるより順序が要点です。ClickFixは「利用者が正規ツールを実行する」構造なので、実行そのものを制御・記録する層から着手し、次に検知、最後に入口の封鎖と教育へ広げます。何を優先し、どこで過剰になるかを条件付きで示します。
先に固める3層はPowerShell制御・AppLockerとEDR相関ルール
最初に効くのは実行制御と可視化です。PowerShellはScriptBlockログ(Event ID 4104)を有効化し、制約言語モードでiexによる動的実行を抑えます。実行ポリシーの変更だけでは容易に迂回されるため、それ単独に頼りません。次にAppLockerやWDACで許可制のスクリプト・バイナリ実行に寄せ、業務で不要ならmshtaを止めます。最後にEDRで前述の系譜相関を常時稼働させる。この3層の並びが費用対効果の軸になります。
| 防御レイヤ | 具体策 | 位置づけ |
|---|---|---|
| PowerShell制御 | ScriptBlockログ・制約言語モード | 実行と痕跡の可視化 |
| 実行許可制御 | AppLocker・WDAC・mshta停止 | 正規ツール悪用の遮断 |
| 挙動検知 | EDRの親子プロセス相関 | 亜種横断の最終網 |
| 入口・人 | 実行ダイアログ制限・教育 | 入口を狭める補助 |
表の上2層を止めると被害の実行自体が起きにくく、下2層は取りこぼしと未知亜種への保険になります。予算が限られるなら上から埋めるのが妥当です。
mshtaやスクリプトエンジンの無効化を採用する条件と見送る場面
ここは立場を明確にします。mshtaを業務で使っていない環境では、AppLockerやWDACで実行を止めるべきです。HTA型ClickFixの実行段を丸ごと断てるうえ、正規業務への影響がまず出ません。一方、レガシー社内ツールがHTAやVBScriptに依存している環境で一律無効化に踏み切るのは見送ります。業務停止のリスクが検知強化の効果を上回りやすく、この場合は許可リストでの限定と監視ログの厚みで代替するのが現実解です。全環境で一律禁止、という設計は過剰になりがちです。
注意喚起の限界とISMS・多要素認証で被害を局限する組織側の防御
利用者教育は入口を狭めますが、巧妙な偽画面を全員が見抜く前提は置けません。だからこそ、突破された後の被害を局限する設計を組織側で持ちます。窃取された資格情報の悪用を抑えるうえで、多要素認証の導入判断は二段階認証とは何か、二要素認証・多要素認証との違いと導入判断の整理が土台になります。検知ルールの整備や運用体制を外部へ相談する場合の要件は、情報セキュリティの3要素とISMSの基本、外注時の要件にまとめており、ここが発注検討の入口です。ClickFixが上位に食い込む脅威地図は情報セキュリティ10大脅威2026とIPAの読み方と合わせて確認すると、対策の優先度を経営層と共有しやすくなります。
よくある質問
ClickFixの検知・対応・亜種について、実務でよく挙がる質問に答えます。
ClickFixに感染したかもと思ったら何をすればよいですか?
まず端末をネットワークから切り離し、電源は切らずに揮発情報を保全します。RunMRUの履歴、直近のプロセス作成ログ、外部通信の宛先を確認し、ブラウザに保存した資格情報やセッションを侵害前提で無効化・再発行します。情報窃取型はセッショントークンごと盗むため、パスワード変更だけでなく該当アカウントのサインアウトと多要素認証の再登録まで行うのが安全です。
偽のWindows Update画面が出たらClickFixですか?
その可能性が高い誘導です。偽のWindows Update、偽のブラウザ更新、偽のCAPTCHAは、いずれもClickFixの入口として使われます。共通点は「更新や認証を完了するにはコマンドを実行してください」と手作業を促す点にあります。正規の更新でユーザーにWin+Rへコマンドを貼り付けさせる運用は存在しないため、その指示自体が危険信号だと判断してください。
MacやスマートフォンもClickFixの標的になりますか?
手口の中心はWindowsですが、考え方は他OSにも及びます。macOS向けにはターミナルへコマンドを貼り付けさせる派生が報告され、モバイルでも偽の認証画面から不正な設定や誘導につなげる亜種が現れています。「利用者に正規機能を手動実行させる」という骨格は共通で、OSごとの実行経路が違うだけと捉えておくのが妥当です。
ウイルス対策ソフトやEDRだけでClickFixを防げますか?
単体では不十分です。ClickFixは正規のLOLBinを使うため、ファイル評判ベースの検知は回避されやすく、EDRも親子プロセスの相関ルールを整えて初めて効きます。AppLockerやPowerShellの実行制御と組み合わせ、実行段を止める層と挙動を捕える層を重ねる前提で構えてください。製品の導入だけで完結する対策ではありません。
ClickFixとFileFixは何が違いますか?
誘導先の入力欄が違います。ClickFixは実行ダイアログ(Win+R)へ貼り付けさせるのに対し、FileFixはファイルエクスプローラーのアドレスバーを使わせる派生です。狙いと最終ペイロードは同系統ですが、FileFixはRunMRUに履歴が残りにくく、検知の着眼点がずれます。両者を同じ「手動実行を誘う攻撃」として扱い、プロセス系譜で横断的に監視するのが実務的です。
関連記事
- 二段階認証とは?二要素認証・多要素認証との違いと企業の導入判断:ClickFixで窃取された資格情報の悪用を抑える被害局限策として。
- 情報セキュリティとは?3要素・ISMSの基本と外注時の要件:検知ルール整備や運用体制を外部に相談する際の要件整理に。
- 情報セキュリティ10大脅威2026とIPAの読み方:ClickFixを含む脅威の全体像と対策優先度の共有に。
- サプライチェーン攻撃とは?起点別3類型と最新事例・対策の優先順位:ClickFixが初期侵入として連鎖する攻撃の広がりの理解に。
- OWASPとは?主要プロジェクトの全体像とアプリ開発への組み込み方:セキュア開発の観点で防御を設計に組み込む参考に。