ClickFixとは何か？WindowsとmacOSを狙う新手口を徹底解説｜ネイティブ機能を悪用する巧妙な攻撃に要注意

近年のサイバー攻撃は、難解な脆弱性を突くものだけではありません。むしろ今、実害を広げやすいのは「利用者自身に危険な操作をさせる」タイプの攻撃です。なかでも急速に存在感を強めているのが、WindowsとmacOSの両方を狙う「ClickFix」キャンペーンです。これはブラウザの偽警告や偽認証画面を使ってユーザーをだまし、標準搭載されたシステム機能を通じて自ら不正コマンドを実行させるという、非常に厄介な手法として注目されています。本記事では、ClickFixの仕組み、なぜ危険なのか、どのような場面でだまされるのか、そして企業・個人が今すぐ取るべき対策まで、わかりやすく整理して解説します。

• ClickFixとは何か？WindowsとmacOSを狙う新手口を徹底解説｜ネイティブ機能を悪用する巧妙な攻撃に要注意
  • ClickFixキャンペーンとは何か
  • なぜClickFixはここまで危険なのか
    • ユーザー操作を悪用するため警戒をすり抜けやすい
    • ネイティブツールを悪用する「Living-off-the-Land」型である
    • ディスクに痕跡を残しにくい
    • 配布マルウェアの幅が広い
  • ClickFixで使われる典型的なだましの流れ
    • 1. 偽の警告ページや認証画面を表示する
    • 2. 見えにくい形でコードをコピーさせる
    • 3. 標準ツールを開くよう指示する
    • 4. コード実行後にマルウェアが展開される
  • 確認されている主な誘導テーマ
    • 金融分野を狙うQuickBooks風の偽装
    • 旅行関連に見せかけた偽reCAPTCHA
    • AIマーケティング関連を装うドメイン
    • OSを見分けてWindowsとmacOSに別々のスクリプトを配布
    • macOS最適化を装う偽メッセージ
  • Windowsユーザーが特に注意すべきポイント
  • macOSユーザーも安全ではない理由
  • 2026年も主要な侵入手法になり得る理由
  • 個人ユーザーが今すぐできる対策
    • ブラウザがOSのコマンド実行を求めたら即座に疑う
    • コピー＆ペーストの指示をうのみにしない
    • 偽の緊急性に流されない
    • 不審な挙動があれば認証情報を直ちに変更する
  • 企業・管理者が取るべき防御策
    • 標準ツールの利用制御を見直す
    • ふるまい監視を強化する
    • 利用者教育を更新する
    • インシデント対応手順を整える
  • 見抜くための判断基準
  • まとめ｜ClickFix対策の核心は「貼り付けて実行しない」こと

ClickFixキャンペーンとは何か

ClickFixは、WindowsとmacOSの利用者を対象にしたソーシャルエンジニアリング型の攻撃です。最大の特徴は、マルウェアを自動で押し込むのではなく、ユーザーに「自分で」危険なコマンドを実行させる点にあります。

一般的にサイバー攻撃というと、OSやアプリの脆弱性を突いて侵入するイメージが強いかもしれません。しかしClickFixはそうした高度な技術だけに依存しません。代わりに、偽の人間確認、偽のエラー表示、偽の最適化メッセージなどを表示し、利用者の不安や焦りを誘います。そして「確認のためにこの操作を行ってください」「不具合を修正するには以下を貼り付けてください」と案内し、隠されたコードをユーザーにコピーさせるのです。

ここが非常に危険です。なぜなら、利用者本人がWindowsの「ファイル名を指定して実行」、PowerShell、あるいはmacOSのTerminalといった正規の機能を開き、自らコードを貼り付けて実行してしまうからです。セキュリティ製品の多くは、怪しい実行ファイルの保存や不審な挙動を検知することに強みがありますが、OS標準機能を通じてユーザーが意図的に操作しているように見えるケースでは、検知や遮断が難しくなることがあります。

なぜClickFixはここまで危険なのか

ClickFixの危険性は、単に「だましが巧妙」というだけではありません。攻撃の設計思想そのものが、現代の防御をすり抜けやすいものになっています。

ユーザー操作を悪用するため警戒をすり抜けやすい

通常、危険なファイルをダウンロードして実行する流れであれば、ブラウザやOS、エンドポイント保護製品が途中で警告を出す可能性があります。しかしClickFixでは、偽ページに誘導されたユーザーが、表示された指示通りにシステムツールを起動し、コードを貼り付けてしまいます。これにより、見かけ上は「正規の利用者が標準機能を使っている」ように映りやすくなります。

ネイティブツールを悪用する「Living-off-the-Land」型である

ClickFixは、WindowsやmacOSにもともと備わっている機能を悪用します。これはいわゆる「Living-off-the-Land」と呼ばれる考え方に近く、外部の怪しいプログラムではなく、信頼されているシステム機能を使って攻撃を成立させるのが特徴です。PowerShellやRunダイアログ、Terminalのような正規機能は、業務でも日常でも普通に使われます。そのため全面的に止めづらく、攻撃者にとって非常に都合が良いのです。

ディスクに痕跡を残しにくい

貼り付けられたスクリプトがメモリ上で動作し、その後に追加の不正プログラムを呼び込む形を取る場合、ファイルとして明確な痕跡が残りにくくなります。保存された不審ファイルを検査してブロックするタイプの防御だけでは、十分に対応できない恐れがあります。

配布マルウェアの幅が広い

ClickFixを入り口にして送り込まれるものは、単なる広告表示系の迷惑ソフトとは限りません。情報窃取型マルウェア、認証情報を狙うツール、遠隔操作を可能にするトロイの木馬など、被害の深刻度が高いものに繋がる可能性があります。一度侵入を許せば、個人情報、業務データ、社内アカウント、クラウドサービスへのアクセス権まで危険にさらされるおそれがあります。

ClickFixで使われる典型的なだましの流れ

この攻撃を理解するうえで重要なのは、「どうやってユーザーをその気にさせるのか」という点です。手口は巧妙ですが、流れを知っていれば異変に気づける可能性が上がります。

1. 偽の警告ページや認証画面を表示する

最初の入口は、もっともらしい見た目のページです。たとえば、人間確認を装った画面、reCAPTCHA風の認証画面、システムの問題を知らせるエラー画面、PCやMacの最適化を促すメッセージなどが使われます。見た目が洗練されていると、利用者は「正規の案内かもしれない」と思い込みやすくなります。

2. 見えにくい形でコードをコピーさせる

ページ内には、ユーザーが気づかないままコピーさせられるコードや、ボタン操作に紐づいた不正コマンドが隠されている場合があります。利用者は「確認のための文字列」や「修正用のコマンド」と誤解したまま、危険な内容をクリップボードに取り込んでしまいます。

3. 標準ツールを開くよう指示する

次に表示されるのが、「Windowsキー＋Rを押してください」「PowerShellを開いて貼り付けてください」「Terminalを起動して実行してください」といった案内です。ここで被害者は、自分がトラブル解決や認証手続きを進めているつもりで操作を続けます。

4. コード実行後にマルウェアが展開される

貼り付けたコマンドが実行されると、バックグラウンドで不正な処理が進みます。追加のスクリプトを取得したり、情報窃取ツールをダウンロードしたり、遠隔操作の足場を作ったりと、さまざまな攻撃に発展する可能性があります。しかも表面上は大きな変化が見えないことも多く、利用者が感染に気づきにくいのが厄介です。

確認されている主な誘導テーマ

今回のClickFixでは、複数のクラスター、つまり別々のテーマや運用方法を持つ攻撃群が確認されています。それぞれの見せ方は異なりますが、共通しているのは「ユーザーに安心感または緊急性を与え、標準機能へ誘導する」という点です。

金融分野を狙うQuickBooks風の偽装

会計や経理関連の利用者は、請求書、会計ソフト、支払い通知などに日常的に接しています。そこにQuickBooks風の見た目が使われると、業務担当者が違和感を抱きにくくなります。金融・会計部門は機密情報を多く扱うため、攻撃者にとって魅力的な標的です。

旅行関連に見せかけた偽reCAPTCHA

旅行予約や出張手配の文脈では、予約確認や本人確認の画面が出ても不自然ではありません。Booking.comを連想させる見せ方や、reCAPTCHAに似た認証画面を使われると、利用者は「最近よくある本人確認だろう」と受け入れてしまう可能性があります。

AIマーケティング関連を装うドメイン

近年はAIやマーケティング支援ツールへの関心が高く、ビジネス利用者がそれらのサービスにアクセスする機会も増えています。そこを狙い、もっともらしいドメイン名やサービス名を用いてマルウェア配布に繋げる手口は、非常に現代的です。特に新しいサービスやツールに慣れている人ほど、「この程度の確認フローは普通だ」と思い込みやすい面があります。

OSを見分けてWindowsとmacOSに別々のスクリプトを配布

一部の攻撃では、アクセスしてきた端末のOSを判別し、WindowsならWindows向け、macOSならmacOS向けの案内やスクリプトを表示するとされています。これにより攻撃の成功率は高まります。利用者にとっては、自分のOSにぴったり合った画面が出るため、余計に本物らしく感じられるのです。

macOS最適化を装う偽メッセージ

macOS利用者の中には、「MacはWindowsより安全」と考えている人もいます。しかし、その油断こそが危険です。クリーニングや最適化、不要ファイル削除、システム修復のようなメッセージは、一見すると保守的で無害に見えます。ところが実際には、Terminalで危険なコマンドを実行させる導線になっている場合があります。

Windowsユーザーが特に注意すべきポイント

Windows環境は業務利用が非常に広く、ClickFixのような攻撃にとって格好の標的になりやすい傾向があります。特に以下のようなケースは危険信号です。

まず、「ブラウザ上の確認を完了するためにWindowsキー＋Rを押させる」案内は極めて不自然です。通常のWebサービス利用で、Runダイアログを開く必要はまずありません。もしそのような指示が出た時点で、ほぼ疑ってかかるべきです。

次に、「PowerShellを開いて修復コマンドを貼り付けてください」といった表示も要注意です。一般利用者向けの正規サービスが、Webページ上でPowerShell実行を求めるのは異例です。社内IT部門からの正式なサポートであっても、チャネルの正当性確認なしに実行してはいけません。

さらに、会計・予約・広告・管理ツールなどの業務系サイトを装っている場合、担当者は仕事を止めたくない気持ちから、確認を急いでしまいがちです。攻撃者はまさにその心理を利用しています。「早く処理したい」と感じたときほど、一度立ち止まることが重要です。

macOSユーザーも安全ではない理由

macOSユーザーの一部には「Macはマルウェアの被害が少ないから大丈夫」という感覚が残っています。しかし、ClickFixの本質はOSの弱点を直接突くことではなく、ユーザーの判断を乗っ取る点にあります。つまりWindowsでもmacOSでも、利用者がだまされれば成立してしまうのです。

特にmacOSでは、Terminalを使った作業に慣れているユーザーほど注意が必要です。開発者やクリエイター、IT担当者など、コマンドラインに抵抗のない人は、「何らかの修復手順だろう」と受け入れてしまう危険があります。しかも案内がmacOS向けに自然な文言で最適化されていると、違和感はさらに薄れます。

また、「クリーンアップ」「システム最適化」「セキュリティ確認」といった文言は、Macユーザーにも響きやすい表現です。普段は慎重な人でも、画面が洗練されていて文言が自然だと、つい従ってしまうことがあります。macOSだから安心ではなく、macOSでも“自分でコマンドを実行させられる”こと自体が最大のリスクなのです。

2026年も主要な侵入手法になり得る理由

ClickFixのような攻撃が今後も続くと見られる理由は明確です。攻撃者にとって、コスト対効果が高いからです。

高度な脆弱性攻撃は、開発にも検証にも時間がかかります。一方でソーシャルエンジニアリングは、人間の心理を突く設計と魅力的な偽画面さえあれば、比較的広い範囲に展開できます。しかも一度成功すれば、ブラウザの外にあるシステムツールへ利用者を誘導できるため、防御側にとって厄介です。

今後は、地域や言語、OS、閲覧環境に応じて見た目が自動調整されるような、さらに説得力の高い偽ページが増える可能性があります。たとえば、日本語環境では日本のサービスらしい言い回しを使い、MacではmacOS風、Windowsでは企業向けサポート風に見せるなど、より自然な誘導が進むでしょう。そうなると、従来の「怪しい日本語だから見抜ける」といった判断は通用しにくくなります。

個人ユーザーが今すぐできる対策

ClickFix対策で重要なのは、技術的な防御だけでなく、「絶対にやってはいけない行動」を明確に知っておくことです。

ブラウザがOSのコマンド実行を求めたら即座に疑う

Webページを見ている最中に、Runダイアログ、PowerShell、Terminalなどを開いて何かを貼り付けるよう求められた場合、それだけで危険信号と考えてください。通常の本人確認やエラー修正で、そのような操作は必要ありません。

コピー＆ペーストの指示をうのみにしない

「このコードを貼り付ければ問題が解決します」と書かれていても、内容を理解せず実行するのは非常に危険です。見えない文字列や難読化されたコマンドが含まれている場合、利用者には内容が分からないまま不正動作が始まります。

偽の緊急性に流されない

「今すぐ確認しないとアカウントが停止されます」「エラー修正のため即時対応が必要です」といった表現は、焦りを生ませる典型的な手口です。急かされたときこそ、そのページを閉じて公式サイトへ直接アクセスし直す習慣が重要です。

不審な挙動があれば認証情報を直ちに変更する

もし誤って実行してしまった可能性があるなら、被害が見えなくても放置は禁物です。メール、クラウドストレージ、業務システム、金融関連アカウントなど、重要な認証情報の変更を優先してください。二要素認証の再確認も欠かせません。

企業・管理者が取るべき防御策

ClickFixは、個人よりもむしろ企業環境で大きな被害に発展しやすい攻撃です。業務端末、管理権限、社内クラウド、会計データ、顧客情報など、価値の高い資産が集中しているためです。

標準ツールの利用制御を見直す

Windowsでは、Group Policy Objectsを活用し、Runダイアログの無効化やPowerShellの利用制限を検討すべき場面があります。全社一律で止められない場合でも、一般利用者端末と管理者端末を分け、必要最小限の権限だけを許可する設計が有効です。

ふるまい監視を強化する

既知の悪性URLやファイルハッシュを遮断するだけでは不十分です。正規ツールから不自然な子プロセスが生まれていないか、PowerShellやTerminalの異常な実行パターンがないかなど、挙動ベースで監視することが重要です。

利用者教育を更新する

従来の標的型メール訓練だけでは足りません。今後は「ブラウザからOS機能へ誘導する」タイプの攻撃も教育に組み込む必要があります。たとえば、偽CAPTCHA、偽サポート、偽修復メッセージなどの事例をもとに、実際にどう見えるかを周知しておくと効果的です。

インシデント対応手順を整える

利用者が誤ってコマンドを実行した場合、どこへ連絡し、端末をどう隔離し、どの認証情報を優先的に変更し、どのログを確認するか。これらを事前に決めておかなければ、初動が遅れて被害が拡大します。ClickFixのような攻撃は、発見が遅れやすいからこそ、手順の明文化が不可欠です。

見抜くための判断基準

ClickFixのような手口に対しては、「何が異常か」をシンプルに覚えておくことが有効です。

正規のWebページが、WindowsのRunダイアログやPowerShell、macOSのTerminalを開いてコマンドを貼り付けさせることは、通常ありません。ここを基準にすれば、多くの偽ページをかなり早い段階で疑えます。

また、見た目が本物そっくりでも安心してはいけません。ロゴ、文言、配色、アイコンが正しく見えることと、安全であることは別です。近年の攻撃者は、見た目の再現に非常に長けています。むしろ「見た目が整っているから信用した」という失敗が増えています。

そしてもう一つ大切なのは、「自分は大丈夫」と思わないことです。経理担当、出張担当、マーケティング担当、開発者、クリエイターなど、それぞれが日常的に触れるサービスを装われた場合、だれでもだまされる可能性があります。ClickFixは、知識不足の人だけを狙う雑な攻撃ではなく、業務の文脈に溶け込むよう設計された実践的な攻撃です。

まとめ｜ClickFix対策の核心は「貼り付けて実行しない」こと

ClickFixキャンペーンの本質は、システムの欠陥よりも人の判断を突く点にあります。WindowsでもmacOSでも、ユーザーが自分でコマンドを実行してしまえば、攻撃者はブラウザの外側へ足場を広げることができます。しかも標準機能を悪用するため、従来型の防御だけでは見逃される可能性があります。

だからこそ最優先で覚えるべきなのは、Webページの指示でRunダイアログ、PowerShell、Terminalを開かないこと、そして意味の分からないコードをコピー＆ペーストしないことです。これは個人にも企業にも共通する、もっとも強力で現実的な防御策です。

今後、偽ページはさらに巧妙になり、OSや地域に合わせて自然に見える表示へ進化していく可能性があります。しかし原則は変わりません。ブラウザ上の案内が、OS標準のコマンド実行へ利用者を誘導した瞬間、それは疑うべきサインです。被害を防ぐ最大のポイントは、攻撃の仕組みを知り、「その操作は本当に必要か」を一呼吸置いて考えることにあります。