令和生まれの新しい攻撃手法「ClickFix」が増殖中 ～Kasperskyが注意喚起

「ClickFix」で案内されるスクリプト実行方法の例

　セキュリティソフトでおなじみのKasperskyが、公式ブログで「ClickFix」と呼ばれる攻撃手法を取り上げ、注意を喚起しています。

　「ClickFix」の特徴は、ユーザーに悪意あるスクリプトを“手動で”実行させること。2024年の春に初めて観測され、サイバー犯罪者のなかでますます人気が高まっているといいます。

　攻撃者はさまざまな口実でマルウェアを実行させようとしてきますが、最近のOSやセキュリティソフトはそれに対する対策を備えています。しかし、PCの管理者がするようなコマンド実行手順を案内されたとおりにやってしまうと、OSやセキュリティソフトでも防ぐことはできません。たとえば、次のような指示があった場合は注意が必要でしょう。

1. ボタンをクリックして、問題を解決するコードをコピーする
2. ［Windows］＋［R］キーを押す
3. ダイアログが表示されたら［Ctrl］＋［V］キーを押す
4. コードがペースト（貼り付け）されたら［Enter］キーを押す

　本誌「窓の杜」でもこうした手順でトラブルの解決策やOSのカスタマイズを紹介することはありますが、実行の際はよくよく注意してください。AIの発達により、今後はより巧妙な偽装やより洗練された攻撃が登場することも十分に考えられます。

　怪しいスクリプトをわざわざユーザーが攻撃者に代わって実行するなんて、と思われる方もいらっしゃると思いますが、悪い人は頭も口も上手いものです。トラブったとき、テンパっているとき、お金のやり取りやレア物の予約なんかで焦っているときに『修正するにはここをクリック！』なんて言われたら、あっさり騙されてしまうものです。

　Kasperskyによると、「ClickFix」には以下のようなバリエーションもあるのだとか。

• 『Webページを表示できない』とのエラーを表示し、解決の手段としてウソの方法を提示する
• コンテンツの表示に、特別なプラグインが必要だとウソをつく
• メールに添付されたドキュメントがエラーになる。最終的にウソの解決手段やプラグインのダウンロードを案内する点は、上述の方法と似ている
• 初めての相手とオンラインミーティングを始めようとしたら、マイクやカメラにトラブルが発生。先方が解決方法をリンクで送ってくれた……が、それは実は詐欺だった。比較的最近のパターンで、偽トラブルのバリエーションには『ミーティングに参加できない』などがある
• 自分がロボットではないことを証明する「CAPTCHA」を偽り、コマンドを実行させようとする

「ClickFix」でよくあるスクリプト実行指示の例

　いずれも古典的な罠（とその派生）ですが、この手の罠は効果的だからこそ古典的と評価されるわけですね。

　Kasperskyはこうした攻撃手法から組織を守るために、信頼性の高いセキュリティソリューションをすべての社内デバイスに導入し、メールゲートウェイのレベルでも保護策を講じること、専門的なトレーニングを実施し、流行の手法を含めサイバー脅威に対する従業員の意識を高めるといった対策を推奨しています。