やじうまの杜
PCを乗っとる「ClickFix」攻撃に早くも亜種、「FileFix」にも注意 ~Kasperskyが解説
[Windows]+[R]キーを押さなきゃ大丈夫……なんて安心してると騙される
2025年11月11日 14:26
「やじうまの杜」では、ニュース・レビューにこだわらない幅広い話題をお伝えします。
最近、『PCのトラブルを解決する!』『サブスクが無料になる裏ワザ』などとユーザーをだまし、[ファイル名を指定して実行]ダイアログ([Windows]+[R]キー)から悪意あるコマンドを実行させる「ClickFix」という攻撃が流行の兆しを見せています。
しかし、セキュリティソフトでおなじみのKasperskyによると、これの新しいバージョンがすでに確認されているとのこと。この攻撃は「FileFix」と呼ばれており、基本的には「エクスプローラー」のアドレスバーからコマンドを実行させるのが特徴です。
『え、エクスプローラーのアドレスバーってコマンドを実行できるの?』と思ったあなた! 実はそうなんです。今開いているフォルダーで「コマンド プロンプト」を実行する裏ワザなどが有名ですね。
「FileFix」の具体的な手順は、以下の通り。『[Windows]+[R]キーを押さなければ大丈夫なんでしょ?』とタカをくくったユーザーも狙い撃ちにできます。
- 詐欺サイトにユーザーを誘導する
- Webページのボタンをクリックさせるなどして、悪意あるコードをクリップボードにコピーさせる
- 「エクスプローラー」を開かせる
- [Ctrl]+[L]キーを押して、アドレスバーにフォーカスさせる
- クリップボードにコピーされているコマンドを[Ctrl]+[V]キーで貼り付けさせる
- [Enter]キーで実行させる
「エクスプローラー」のアドレスバーにフォーカスさせるキーボードショートカットとしては、[Ctrl]+[L]キーのほかに[Alt]+[D]キーもありますので注意しましょう。
攻撃に使われる悪意あるコードは結構長いのですが、空白などをうまく使って最初の部分(行)だけ見せる手口で、ただの無害なファイルパスであるかのように偽装していることが多いようです。残りの部分に起動オプションやスクリプトを含む肝心の部分(ペイロード)が隠されています。
Kasperskyは以前、「ClickFix」から組織を守るために[Windows]+[R]キーをブロックする方法などを提案していましたが、「FileFix」では同様の手段をとるのが難しく――「エクスプローラー」を使用不能にするわけにはいきませんからね――、信頼性の高いセキュリティソリューションをすべての従業員デバイスに導入する必要があるとしています。
