増加する「ClickFix」攻撃とは? ショートカットキーなどを押させる指示に注意 #エキスパートトピ
Webサイト上で特定のショートカットキーなどの実行を求める「ClickFix(クリックフィックス)」攻撃が増加しているとして、日経新聞が報じるなど関心が高まっています。
典型的な例では、画面に指示が表示された時点でクリップボードに悪意のあるコマンドがセットされており、「貼り付けて実行するだけ」の状態になっています。これを実行してマルウェアに感染すると、気付かないうちに情報を盗み出されたり、第三者への攻撃に加担したりする恐れがあります。
ココがポイント
「コピペしたら感染」新手サイバー攻撃「ClickFix」の大増加に日経が警鐘を鳴らす…専門家による注意喚起も
出典:Togetter (トゥギャッター) 2025/8/14(木)
画面の手順通りにユーザが操作するとクリップボードにコピーさせられた内容が実行され、マルウェア感染などの被害に遭います
出典:LAC WATCH 2025/5/19(月)
コマンドを実行させるものに加え、ファイルエクスプローラーのアドレスバーにコマンドを入力させるパターンも出現
出典:東洋経済オンライン 2025/8/1(金)
エキスパートの補足・見解
ClickFixに引っかかる理由の1つとして考えられるのが「CAPTCHA」の存在です。Webサイトへのログイン時などに、「歪んだ文字の解読」や「パズルの当てはめ」といった意味のない作業を求められることがあります。こうした指示に従うことに慣れた人が、画面の指示に従ってショートカットキーを押している可能性があるわけです。
仕組み的にはWindowsやMacに標準で用意された機能を利用しており、脆弱性を突いたものではありません。どちらかといえば「人間の脆弱性」を狙った攻撃であり、むしろ厄介といえるかもしれません。
最近話題となっている証券口座を狙った不正取引にも悪用されたとの見方があります。たとえ意図的ではなかったとしても、利用者自身でコマンドを実行している以上、金銭的な被害が生じた場合に補償を受けられるかどうかは分かりません。
スマホに比べて自由度の高いパソコンは、使いこなせば強力なツールになるものの、リスクもあります。自分のパソコン操作がどのような影響を及ぼすのか、しっかり理解しながら使う必要がありそうです。
