Digital Arts Security Reports

2025/07/29    i-FILTER,サイバー攻撃

ClickFixとFileFixがユーザーをだましてインフォスティーラーに感染させる

2025年は6月までの半年間で、証券口座の不正取引被害額が5,700億円を超えたことが金融庁の発表で明らかとなりました。その原因としては、フィッシング詐欺やインフォスティーラー(情報窃取マルウェア)によって窃取された認証情報の悪用が挙げられています。また、インフォスティーラーはランサムウェア被害の原因となっている可能性も高く、以前のレポートで取り上げました。

本稿では、インフォスティーラーに感染させる手法として流行中の「ClickFix」と、その派生版の「FileFix」にフォーカスします。

この記事の要約

  • ClickFixはインフォスティーラーをはじめとするマルウェアに感染させるための手法
  • 国内でも被害があり、世界中で流行、ClickFixからインフォスティーラーに感染させる事例が多い
  • 高度な攻撃技術が不要で、ユーザーに気付かれにくく、汎用的にマルウェア配信できる
  • 改ざんされたWebサイトや広告やメールなど多くの経路で遭遇、macOSやLinuxもターゲットにされる
  • FileFixというClickFixの派生版が出現し、今後流行する可能性がある

「ClickFix」とは

本稿執筆の2025年7月現在、非常に流行している「マルウェアに感染させるための手法」です。

Webページに偽警告や偽CAPTCHA等を出して、その解決策(Fix)を表示し、それを信じたユーザー自身にPCを操作させ、マルウェアに感染させるというものです。これは人を騙すことで不正な操作をさせたり情報を窃取する、ソーシャルエンジニアリングの一種です。

【図1】初期のClickFixの例(2024年6月確認)
【図1】初期のClickFixの例(2024年6月確認)

世界中で流行

ClickFixは2024年上旬ころから観測され、その後急速に流行しました。国内でもClickFixによる被害が発生しています(※1)。

また、ESETの2025年上半期の脅威レポート「ESET Threat Report H1 2025」においては、同社で観測したClickFixは 2024年下半期と比べ、2025年上半期は500%以上増加 したと述べています(※2)。

(※1)ClickFixの被害をJSOCの複数のお客様にて観測 | LAC WATCH (lac.co.jp)
(※2)ESET Threat Report H1 2025 (welivesecurity.com)

配信されるマルウェア

ClickFixを使ってインフォスティーラーに感染をさせる事例が多く報告されています。インフォスティーラーだけでなく、その他様々なマルウェアの配信に使われています。

ClickFixの例

【図2】は、2025年7月に改ざんされたWebサイトにデジタルアーツのリサーチャーがアクセスした際に確認したもので、様々あるClickFixのパターンのうちのひとつです。

【図2】2025年7月に確認したClickFix
【図2】2025年7月に確認したClickFix

これはCloudflare Turnstileというサービスを模倣しています。Webサイトを保護するため、ユーザーにクリックを促し、機械的なアクセスでないことを証明させるページを表示します。問題がなければオリジナルのWebサイトに遷移させます。

ClickFixでは、クリックしたあとに証明ステップと称して手順に沿って実行するように促します。また、実はクリックと同時にクリップボードに文字列(コマンド)がコピーされています

手順は下記の通りです。

  1. Windowsキー+R(「ファイル名を指定して実行」を表示するためのショートカット)
  2. Ctrl+V (コピーしたものを貼り付ける)
  3. Enter(貼り付けたコマンドが実行される)

3番目のステップまで進みEnter を押すと、コピーしたコマンドに記載された外部URLに接続し、そこに記載された新たなコマンドを実行することになります。実行されたコマンドは、さらに外部URLに接続しバイナリデータをダウンロードして読み込み、マルウェアに感染させます。

マルウェアは「Rhadamanthys」というインフォスティーラーであることを確認しました。

攻撃者視点でのメリット

起点となる偽のWebページを用意しておけば、あとはユーザーを画面の手順に従わせてキーボードを数回押させるだけです。

「PowerShell」や「ファイル名を指定して実行」などOSに標準でインストールされている機能を使い、悪意のあるコマンドを実行してマルウェアをダウンロードさせることで、Webブラウザーのセキュリティ機能(GoogleセーフブラウジングやMicrosoft Defender SmartScreenなど)を回避できるため、ユーザーに気付かれにくいでしょう。

OSに標準でインストールされている機能は、利用の禁止や制限などの対策がされにくいという点も挙げられます。マルウェアのダウンロードに繋がる安定した導線が作れるため、汎用的に利用可能です。

ClickFix自体の配信経路

ClickFix自体がどこで悪用されているのか(我々がどこで遭遇するのか)というと、

  • 改ざんされたWebサイト
  • 偽のソフトウェアダウンロードサイト
  • 広告
  • メール(本文リンク、添付ファイル内リンク)
など、様々なところで悪用されています。

また、Windowsだけではなく、macOSやLinuxもClickFixのターゲットになります。


最近になって、ClickFixの派生版となる「FileFix」の攻撃事例を観測しました。今後、流行が拡大する可能性が考えられます。

「FileFix」とは

セキュリティ研究者がClickFixに代わる新たな手法「FileFix」を発表しました(※3)。発表時点の2025年6月23日では攻撃に使われた実績はありませんでしたが、それから約10日後の2025年の7月3日には、実際に攻撃に悪用されたことを観測しました

(※3)FileFix - A ClickFix Alternative (mrd0x.com)

FileFixの特徴
FileFixは、下記二つの点を悪用するのが特徴です。

①Webブラウザーで立ち上がるWindowsのエクスプローラー
例えば、Webサイトで何らかのファイルをアップロードするとき、ウインドウが立ち上がりそこでアップロードしたいファイルを選択するかと思います。このウインドウはWindowsのエクスプローラーです(以後「エクスプローラー」と呼びます)。

【図3】Webブラウザーからエクスプローラーのウインドウが立ち上がる例
【図3】Webブラウザーからエクスプローラーのウインドウが立ち上がる例

②エクスプローラーのアドレスバーから、アプリ起動・コマンド実行が可能
エクスプローラーの「アドレスバー」には、ファイルのアドレス(場所、パス)を入力すると一般的に想像するかと思いますが、実はここに特定の文字列(「powershell」「cmd」など)を入力しEnterを押すと、アプリケーションが立ち上がるものがあります。アプリケーションはコマンドも加えて実行させることもできます。

【図4】アドレスバーからPowerShellを起動した例
【図4】アドレスバーからPowerShellを起動した例

これらを組み合わせることによって、従来のClickFixと異なり、ユーザーがあまり使い慣れない「ファイル名を指定して実行」や「PowerShell」を起動する必要がありません。

FileFixの実例

下記は2025年7月3日にデジタルアーツのリサーチャーが確認した、改ざんされたWebサイトの閲覧時に出現したFileFixです。

【図5】2025年7月3日に確認したFileFix
【図5】2025年7月3日に確認したFileFix

まず警告等の表示がありクリックを促されます。ユーザーがクリックすると、ページ内に手順の書かれたポップが表示されます。クリックと同時にクリップボードにコマンドがコピーされています【図6】。

【図6】クリック時にクリップボードにコピーされたコマンドを可視化(白い部分)
【図6】クリック時にクリップボードにコピーされたコマンドを可視化(白い部分)

ここまでは従来型のClickFixとほとんど同じです。【図5】で表示された手順は下記の通りです。

  1. 「START VERIFICATION」をクリック(エクスプローラーのウインドウが立ち上がる)
  2. Ctrl+L(エクスプローラーで、アドレスバーにフォーカスを移動できるショートカット)
  3. Ctrl+V(アドレスバーにコマンドが貼り付けられる)
  4. Enter(貼り付けたコマンドが実行される)
  5. ウィンドウを閉じる

下記は手順に従って進んだ例です。

【図7】手順1から3までを実施
【図7】手順1から3までを実施

なお、貼り付けたあとのアドレスバーには「Capcha Verify」の文字しか見えませんが、無意味なスペースやもっともらしい文字列を加えて末尾の部分だけを表示させ、実行コマンドが気付かれないようにしていると考えられます。

【図8】手順4を実施した直後
【図8】手順4を実施した直後

手順通りに進みEnterを押すと、PowerShellでコマンドが実行され外部URLに接続します。接続先には新たなコマンドが記載されており、そのコマンドで端末環境の情報を収集したあと、別のURLに収集した情報をPOSTします。今回の調査では確認できなかったため、感染するマルウェアは不明ですが、インフォスティーラーなど危険なものであることが推定されます。


従来のClickFixでは、ユーザーに「ファイル名を指定して実行」や「PowerShell」を起動させる必要がありました。しかしFileFixでは、ユーザーからすればWebブラウザーだけで操作が完結しているような感覚でしょう(実体としてはWindowsのエクスプローラーも操作しています)。

よりユーザーの感じる違和感が減ったことで、マルウェア感染の成功確率が増す可能性があり、攻撃者にとっても効率的な手法であることから、今後も継続して使われていく可能性が考えられます。

【図9】観測したFileFixの一連の流れ
【図9】観測したFileFixの一連の流れ

おわりに

数年ほど前に流行していたマルウェア感染手法には、メールにMicrosoft OfficeのWordファイルやExcelファイルを添付して、受信者をだましてマクロを実行させるように仕向けるものが主流でした。例えば、Emotetが好んで使用していた手法です。しかし、Microsoft側の仕様変更により、インターネットから取得したファイル(ダウンロードしたファイルやメールの添付ファイル)ではマクロを簡単に実行できないように対策されたため、マルウェア感染の成功率が減った結果、現在ではほとんど使われることがなくなりました。

有効だったマルウェア感染手法が潰されたことにより、攻撃側では様々な手法を試してきました。いかにして防御策を潜り抜けるのか試行錯誤が繰り返された結果、成功した手法のひとつが「ClickFix」です。現在、ClickFixは世界中で流行しているマルウェア感染手法であり、そこから派生した「FileFix」という新たな手法も使われ始めました。

ソーシャルエンジニアリング、つまり人をいかにして騙すかというところに攻撃者は注目しています。

このような手口があるということを知っておくことが、被害の軽減につながります。組織内での共有や、家庭内や身近な方への共有をしていただき、知識を拡げていくことが効果的でしょう。

デジタルアーツでは

「i-FILTER/i-FILTER@Cloud」
デジタルアーツでは日々様々な情報をもとにデータの収集を行っており、本稿のような攻撃に用いられるURLは「i-FILTER/i-FILTER@Cloud」のフィルターデータベースへと迅速に配信され、[違法ソフト・反社会行為][不確定サイト(※)] カテゴリにてブロックすることが可能です。

(※)[不確定サイト] カテゴリは、弊社でカテゴリ精査を行った結果、コンテンツや URL などの付随情報では利用用途が判断できない URL が含まれます。用途が判明した場合は別のカテゴリへと修正されます。
「i-FILTER」『不確定サイト』カテゴリとはどのようなサイトが該当しますか
「i-FILTER@Cloud」『不確定サイト』カテゴリとはどのようなサイトが該当しますか

安全なWebセキュリティの新定番「ホワイト運用」とは
さらに、フィルターデータベースに反映されていない URL であっても「ホワイト運用」を行うことで、デジタルアーツが安全を確認した URL にのみアクセスを許可し未知の悪性 URL をブロックすることができます。

※本稿で2025年7月に調査したClickFixとFileFixでは、ユーザーが手順を実施したあとに外部に通信します。通信先はいずれも「カテゴリ外」となっていたため、「ホワイト運用」を行っていればマルウェア感染を防ぐことが可能でした。

  1. Digital Arts Security Reports をダウンロード

ダウンロードにはお客様情報の入力が必要となります。

最新情報をお届けします。