最近、Webページ上で
「このエラーを直すには Ctrl+V を押してください」
などとキー操作や「貼り付け」を促す表示が出て、ユーザー自身に危険なコマンドを実行させる ClickFix(クリックフィックス)攻撃 が急増しています。
典型例では、画面の指示が出た時点でクリップボードに不正コマンドが仕込まれており、ユーザーが「貼り付け → Enter」を押すだけで PowerShell などが動き、情報窃取型マルウェア等がダウンロード・実行されます。
本記事は Windows 環境に特化 して、ClickFixの仕組みと実被害、今すぐできる個人向け対策と企業向けの実装レベル対策を、表・手順でわかりやすくまとめます。
最新の研究・公式ドキュメントを根拠に説明しますので、安心して対策にお役立てください。
Contents
ClickFix攻撃とは?(Windowsが狙われやすい理由)
ClickFix は、ユーザーに**「修正」「確認」などを装って ショートカットキー操作やコピペ をさせ、PowerShell/コマンドプロンプト を経由して不正処理を走らせるソーシャルエンジニアリング型の感染手口です。
起点は、改ざんサイト・偽CAPTCHA・偽エラーダイアログなど。
Windowsが主標的となるのは、PowerShell での自動化・管理機能が強力で、悪用時にOS全体へ深く影響**できるためです。
実際に 偽の「ボット検証」画面で Ctrl+V → Enter を誘導し、PowerShellで情報窃取マルウェアを取得させた実例が複数報告されています。
例:偽の検証手順
①「人間か確認します」→ ②「Ctrl+V を押してコードを貼り付け」→ ③「Enter を押す」→ PowerShell が自動起動し、外部から EXE を取得・実行(情報窃取)。Krebs on Security
仕組みを3ステップで把握
図解イメージ(ことばで描写)
- 左:ユーザーが偽のエラー/偽CAPTCHA画面を表示したブラウザ。
- 中央:クリップボードのアイコンに悪意コマンドが自動で格納される様子(サイト側のスクリプトがコピー済み)。
- 右:PowerShellコンソールに貼り付けられたコマンドがEnterで実行され、外部サーバー → ダウンロード → 実行 → 常駐化の矢印が連なっている。
実際の攻撃チェーン(一般例)
- 誘導:改ざんサイト/広告/メールから偽CAPTCHAや修正案内ページへ誘導。
- 操作の強要:Ctrl+V(貼り付け)やWindows+R(実行ダイアログ)などのキー操作を指示。
- 実行:PowerShellに貼り付け → Enter で、情報窃取ツールやRAT(例:NetSupport、Lumma、Latrodectus 等)を取得・実行。MalwarebytesUnit 42
注:Proofpointは、脅威アクターがPowerShellコピペ手法で DarkGate・Matanbuchus・NetSupport 等を届ける事例を観測しています。Proofpoint
どんな被害が起こる?(Windowsで想定される影響)
- 資格情報・Cookie・カード情報の窃取:ブラウザ保存情報やウォレット、クリップボード内容等が狙われる。
- リモート操作/ボット化:RAT導入で遠隔操作・DDoS加担・横展開の踏み台になる。Unit 42
- 持続化(Persistence):Windows起動時に自動実行されるようレジストリやタスクスケジューラへ埋め込まれる。Krebs on Security
攻撃の実例と近年の流行
- 偽ボット検証 → Ctrl+V → Enter で PowerShell が起動し、外部の EXE を取得して実行(KrebsOnSecurityが挙動を詳細解剖)。Krebs on Security
- 偽CAPTCHAでクリップボードを乗っ取り、ユーザーに自己感染させる流れが主流化(Malwarebytes)。
- ClickFixの名称で研究・警告(McAfee、NEC、Unit 42 など)。国内向け日本語ルアーも確認。
Windowsユーザーが特に注意すべきポイント
- 「Ctrl+V して」「Windows+R を押して」等の指示は要警戒:
貼り付け前に必ず中身を確認。
メモ帳に貼って**不審コマンド(Invoke-WebRequest、PowerShell -enc など)**が無いか目視。 - PowerShell 実行環境:
通常は強力な管理ツール。
悪用されると瞬時に感染が進むため、用途が無ければ権限・実行ポリシー・ロギングを見直す。 - ブラウザの警告:
SmartScreenの警告は無視しない。
偽サポート画面やフルスクリーン詐欺表示にも注意。Microsoft Learn
今すぐできる個人向け対策(手順つき)
1)貼り付け前チェックの習慣化
- 不審ページで**「貼り付けて」と言われたら、メモ帳に一度貼り付けて内容確認**(見慣れない PowerShell コマンドは実行しない)。Malwarebytes
2)Microsoft Defender SmartScreen を有効に(Edge)
- Edge の「設定」→ プライバシー、検索、サービス → Microsoft Defender SmartScreen をオン。
- 危険サイト・不審ダウンロードの事前警告を受けられます。Microsoft SupportMicrosoft Learn
3)Windows Update を最新に
- 「設定」→「Windows Update」→ 更新プログラムのチェック。
- 既知の脆弱性悪用を減らす基本対策です。(一般的推奨)
4)セキュリティソフトを常時稼働
- Microsoft Defender Antivirus などの常駐保護を有効に。Microsoft
5)怪しいページはすぐ閉じる
- フルスクリーン警告や音声アラートは典型的な詐欺ルアー。
Alt+F4等で離脱し、履歴/キャッシュ削除も。The Verge
企業・組織向け:実装レベルの多層防御
① Attack Surface Reduction(ASR)ルール(Defender for Endpoint)
- **「Office アプリからの子プロセス生成をブロック」**など、典型的な攻撃挙動を行動ベースで遮断。
- 監査(Audit)モードで影響を検証 → 本番適用が推奨。Microsoft Learn+1
② PowerShell の“見える化”強化
- Script Block Logging(イベント ID 4104)をGPO/Intuneで有効化、PowerShell Transcriptionで入力/出力を記録。
- Event Viewer:Applications and Services Logs → Microsoft → Windows → PowerShell → Operational を監視。SIEM連携でIOC検出を自動化。
③ 実行制御(WDAC / AppLocker)+ Constrained Language Mode(CLM)
- 許可リスト型の実行制御で不審 EXE/スクリプトを原則ブロック。
- CLMは高機能を制限して悪用リスクを下げるハードニング手段(万能ではない点に留意)。
④ ブラウザ防御
- SmartScreenのエンタープライズ設定を集中管理(Intune/グルポ)。スケアウェア対策も導入検討。
⑤ セキュリティ教育
- 「貼り付けろ」「キーを押せ」系の人間工学的ルアーを教材化。ClickFixルアー画像を用いた訓練で即時離脱を習慣化。Unit 42
侵入の疑いがある時の初動・復旧フロー(Windows想定)
- ネットワーク隔離:Wi-Fi/有線を切断、EDRからネットワーク隔離。
- 証跡保全:イベントログ(PowerShell Operational 4104 など)、Defenderログ、ブラウザ履歴を保全。Microsoft Learn
- フルスキャン:Defender/EDRで完全スキャン。検出名・隔離結果を記録。Microsoft
- 資格情報の棚卸し:パスワード・トークン・2FAの強制リセット、SSO・メール・金融系は優先対応。
- 自動起動点の確認:タスクスケジューラ/レジストリ Run キー等の持続化痕跡を調査。
- 再感染防止:OS/ブラウザ更新、SmartScreen/ASR適用、教育の徹底。Microsoft Learn+1
早見表:攻撃フェーズ × Windows側の備え
| フェーズ | 典型挙動 | Windowsでの備え |
|---|---|---|
| 入口(偽画面) | 偽CAPTCHA/修正案内 | SmartScreen有効化、ユーザー教育(貼り付け前確認) Microsoft Learn |
| 実行(コピペ) | Ctrl+V→Enter で PowerShell 実行 | 貼り付け前にメモ帳へ、PowerShell実行ポリシー/ロギング強化(4104) Microsoft Learn |
| 展開(取得) | Invoke-WebRequest 等でDL | ASR ルール、WDAC/AppLockerの許可リスト運用 Microsoft Learn |
| 持続化 | Run キー/タスク登録 | EDR監視、起動項目の定期監査 |
| 横展開/窃取 | RAT・Stealer常駐 | 資格情報保護、ネットワーク分離、強制パスワードリセット |
よくある質問(Windows特化)
Q1. どのキー操作が狙われやすいですか?
Ctrl+V(貼り付け)、Windows+R(実行ダイアログ)、Ctrl+Shift+V など。
まずは貼り付け前に内容を確認する癖を。
Q2. PowerShellを無効化すべき?
完全無効化は運用に支障が出ます。
まずはロギング(4104)、実行制御(WDAC/AppLocker)、ASRで挙動を抑止・可視化するアプローチが現実的です。
Q3. 既に貼り付けて実行してしまった…
ネットワーク遮断 → ログ保全 → フルスキャン → 認証情報リセットの順で即対応。
被害範囲の把握と**再発防止(更新・教育・ASR)**へ。
Q4. 企業で最優先の実装は?
ASR(監査→本番)、PowerShell 4104 ログ収集、SmartScreen強制、定期教育。
この4点が費用対効果高めです。
まとめ(要点とひとことアドバイス)
- ClickFixは「キー操作・コピペ」を悪用する新手の攻撃。WindowsのPowerShellが狙われやすい。
- 偽CAPTCHA/修正画面 → 貼り付け → Enter の3手順で感染する事例が確認済み。Krebs on Security
- 個人は 貼り付け前確認/SmartScreen有効/更新適用/常駐保護 が基本。
- 企業は ASR/PowerShell 4104 ログ/実行制御(WDAC/AppLocker)/教育 をセットで。
ひとこと
「貼り付ける前に、必ず中身を見る」――これだけで多くの ClickFix を防げます。
まず今日から、メモ帳チェックを習慣にしましょう。
参考リンク
- KrebsOnSecurity:偽ボット検証 → Ctrl+V → Enter で PowerShell が動く ClickFix 実例解説(2024/2025) Krebs on Security+1
- Malwarebytes:偽CAPTCHAがクリップボード乗っ取りで自己感染させる流れを解説(2025/03) Malwarebytes
- McAfee Labs:ClickFix 感染チェーン(PowerShellにスクリプト貼り付け)を分析(2024/07) McAfee
- Proofpoint:PowerShell コピペで DarkGate 等を配布する事例(2024/06) Proofpoint
- Palo Alto Networks Unit 42(日本語):ClickFix キャンペーンと NetSupport/Lumma/Latrodectus を解説(2025/07) Unit 42
- NEC サイバーセキュリティ:日本語ルアー増加・偽reCAPTCHA動向(2025/05) NEC
- Microsoft:Attack Surface Reduction(ASR) ルール、SmartScreen、PowerShell ログ(Script Block 4104) 公式ドキュメント Microsoft Learn+3Microsoft Learn+3Microsoft Learn+3
