2026年2月5日、Microsoftはセキュリティブログにおいて、ClickFix攻撃の新たな変種「CrashFix」に関する警告を発表した。CrashFixは、ブラウザ拡張機能を悪用してブラウザを意図的にクラッシュさせ、ユーザーの混乱に乗じてPythonベースのリモートアクセス型トロイの木馬(RAT)を実行させるソーシャルエンジニアリング手法である。本稿では、2024年3月に初めて観測されたClickFix攻撃の進化の系譜を辿り、CrashFixの技術的メカニズム、OS標準機能の悪用手法、そしてエンタープライズにおける防御戦略を解析する。

ClickFix攻撃とは何か ── ソーシャルエンジニアリングの新潮流

ClickFixは、偽のブラウザエラーメッセージやCAPTCHA画面を表示し、ユーザーに悪意あるコマンドをコピー&ペーストさせて実行させるソーシャルエンジニアリング手法である。2024年3月1日、セキュリティ企業Proofpointが初期アクセスブローカー「TA571」による大規模キャンペーンを観測したのが最初の報告とされている。このキャンペーンでは10万通以上のメッセージが数千の組織に送信された。

典型的な攻撃フローは次の通りである。まず、改ざんされたWebサイトや悪意ある広告経由で、「Webページを正しく表示できません」といった偽のエラーメッセージが表示される。バックグラウンドではJavaScriptが難読化されたコマンドをクリップボードにコピーする。次に、ユーザーは「修正」のためにWindowsの「ファイル名を指定して実行」ダイアログ(Win+R)を開き、クリップボードの内容を貼り付けてEnterキーを押すよう指示される。この操作により、PowerShellコマンドが実行され、マルウェアのダウンロードとインストールが行われる。

ClickFixが従来のフィッシング攻撃と一線を画すのは、技術的な脆弱性を一切利用しない点にある。ゼロデイ脆弱性も、エクスプロイトコードも不要である。代わりに、ユーザー自身の手でコマンドを実行させることで、多くのセキュリティ製品の検知を回避する。PowerShellやコマンドプロンプトといったOS標準ツールを利用するLiving-off-the-Land(環境寄生型)手法であるため、シグネチャベースの検知はきわめて困難である。

ClickFixの進化 ── 犯罪者から国家アクターへの拡散

ClickFixは登場からわずか18か月で、サイバー犯罪者の手法から国家支援型攻撃者の武器へと変貌を遂げた。Infosecurity Magazineの報告によれば、2025年にはClickFix攻撃が前年比517%急増し、同年の初期アクセス手法として最も多用されたとされている。

2024年10月から2025年1月にかけて、Proofpointは少なくとも4つの国家支援型攻撃グループがClickFixを採用したことを確認している。ロシアのAPT28(TA422)は2024年10月17日にGoogleスプレッドシートを偽装したフィッシング攻撃でClickFixを初めて使用し、偽のreCAPTCHA画面からPowerShell経由でMetasploitモジュールを実行させた。イランのMuddyWater(TA450)は2024年11月13〜14日にMicrosoftセキュリティアップデートを偽装した攻撃を展開し、Level RMMソフトウェアを通じて永続的なアクセスを確立した。

さらに、北朝鮮のKimsuky(TA427)は2025年1〜2月に北朝鮮政策を研究するシンクタンクを標的とし、日本の外交官を偽装した電子メールでQuasarRATを配布した。ロシアのUNK_RemoteRogueも既存の攻撃チェーンにClickFixを統合している。国家アクターの採用は、この手法が既存の防御を確実に突破できることの証左といえる。

手法自体も多様化している。オリジナルのClickFix(Win+R経由)に加え、PowerShell直接実行を指示する「TerminalFix」、Windowsエクスプローラーのアドレスバーを悪用しステガノグラフィを組み合わせた「FileFix」、そしてブラウザクラッシュを武器化した「CrashFix」と、変種は増え続けている。2025年6月にはmacOSを標的としたAtomic macOS Stealerの配布にも利用され、プラットフォームの垣根も越えつつある。

CrashFix ── ブラウザクラッシュを武器化する新変種

CrashFixは、脅威アクター「KongTuke」によって2025年12月末から展開されている攻撃キャンペーンであり、2026年1月にHuntress、Malwarebytes、Help Net Securityなど複数のセキュリティ企業が分析レポートを公開した。Microsoftは2026年2月5日のセキュリティブログでこの変種を正式に文書化している。

攻撃チェーンは以下のように進行する。まず、ユーザーは改ざんされたWebサイトや広告を通じて、正規の広告ブロッカー「uBlock Origin Lite」を偽装した「NexShield」というChrome拡張機能のインストールに誘導される。NexShieldは検知を回避するため、インストール後60分間は潜伏する。

60分経過後、拡張機能はブラウザに対するサービス拒否(DoS)攻撃を開始する。具体的には、chrome.runtime.connect()を無限ループで呼び出し、約10億回のイテレーションを実行してシステムリソースを枯渇させる。ブラウザは応答不能となりクラッシュする。

ブラウザを再起動すると、偽の「CrashFix」セキュリティ警告がポップアップで表示される。「異常なシャットダウンが検出されました」といった文言で、ブラウザの「修復」を促す。指示に従ってWin+Rでダイアログを開き、Ctrl+Vでクリップボードの内容を貼り付けてEnterを押すと、事前にクリップボードにコピーされていた悪意あるPowerShellコマンドが実行される。

このPowerShellコマンドは、Windows標準ユーティリティのfinger.exeを悪用して難読化されたスクリプトを取得する。finger.exeはネットワーク問い合わせに使われる正規ツールであり、通常のエンタープライズ環境では使用されることが少ないため、セキュリティ監視の盲点となりやすい。取得されたスクリプトはZIPアーカイブをダウンロードし、その中にはPythonベースのRAT「ModeloRAT」のペイロード(udp.pyw)と、リネームされたPythonインタープリタ(run.exe)が含まれている。

ModeloRAT ── エンタープライズを標的とするPython RAT

CrashFixが最終的に展開するModeloRATは、Pythonで記述されたリモートアクセス型トロイの木馬であり、企業環境のみを標的とする設計となっている。KongTukeはドメイン参加済みの端末(企業ネットワークに接続された端末)と個人端末を区別し、ModeloRATは前者にのみ展開される。

ModeloRATの主要機能は以下の通りである。まず、nltest、whoami、net useなどのWindows標準コマンドを用いたシステム偵察を行い、Active Directory環境の情報を収集する。次に、永続化のためにレジストリキー(HKCU\Software\Microsoft\Windows\CurrentVersion\Run)を変更するとともに、「SoftwareProtection」という名前のスケジュールタスクを作成して5分ごとにpythonw.exe経由で自身を実行する。

C2(コマンド&コントロール)通信にはRC4暗号化が使用され、定期的なビーコンリクエストによって攻撃者との接続を維持する。また、検知回避のためにAMSI(Antimalware Scan Interface)バイパスにUnicode正規化の難読化を使用し、VMwareやVirtualBoxなどの仮想環境を検知する機能も備えている。

特筆すべきは、ModeloRATがポータブルなPython実行環境をバンドルしている点である。標的システムにPythonがインストールされていなくても動作し、Pythonインタープリタを「run.exe」にリネームすることで、プロセス監視からの検知を困難にしている。Broadcomのセキュリティセンターは、KongTukeグループのModeloRAT展開を継続的に追跡している。

エンタープライズにおける防御戦略

CrashFixに代表されるClickFix系攻撃は、技術的脆弱性ではなく人間の心理を突くため、防御には多層的なアプローチが必要である。

ユーザー教育と意識向上が第一の防衛線となる。正規のソフトウェアがWin+Rダイアログへのコマンド貼り付けを求めることはないという事実を、全従業員に周知する必要がある。CrashFixのように、ブラウザクラッシュ後に偽の修復手順が表示されるパターンについても、具体的なシナリオを用いた訓練が有効である。

PowerShellの実行制御も重要である。実行ポリシーを「AllSigned」または「Restricted」に設定し、管理者以外のユーザーに対するPowerShell実行をブロックする。AppLockerを使用して未署名スクリプトの実行を防止し、スクリプトブロックログを有効にすることで実行されたコマンドの記録を確保する。

ブラウザ拡張機能の管理として、グループポリシーを通じて拡張機能のインストールをホワイトリスト方式で制限する。未署名または信頼されていない拡張機能のインストールをブロックし、既存の拡張機能を定期的に監査する。NexShieldのような正規ツールを偽装した拡張機能を検出するためには、拡張機能IDのベースライン管理が効果的である。

エンドポイント検知と監視では、Windowsイベント ID 4688を監視してexplorer.exeから生成されたPowerShellプロセスを検出する。finger.exeの使用は通常の業務環境ではほぼ発生しないため、その実行をアラートの対象とする。ユーザーディレクトリ内のPython実行環境バンドルや、リネームされたシステムユーティリティの検出も重要な指標となる。レジストリのRunキー変更と「SoftwareProtection」スケジュールタスクの監視も推奨される。

ネットワークレベルの対策として、finger.exeが使用するポート79の外向き通信をファイアウォールでブロックする。C2通信のビーコンパターンを検出するためのネットワークトラフィック分析も有効である。DNS TXTレコードの異常な利用パターンの監視も、KongTukeの攻撃インフラの検出に役立つ。

FAQ

ClickFix攻撃とフィッシング攻撃の違いは何ですか?

従来のフィッシングは悪意あるリンクのクリックや添付ファイルの実行を誘導するが、ClickFixはユーザー自身にOS標準のダイアログにコマンドを貼り付けて実行させる点が異なる。ユーザーの能動的操作を介するため、自動化されたセキュリティ製品による検知が困難である。

CrashFixはどのようにブラウザをクラッシュさせるのですか?

偽の広告ブロッカー拡張機能「NexShield」がchrome.runtime.connect()を約10億回呼び出す無限ループを実行し、システムリソースを枯渇させてブラウザを強制的にクラッシュさせる。インストール後60分間は潜伏するため、原因の特定が難しい。

CrashFix攻撃の標的はどのような組織ですか?

脅威アクターKongTukeはドメイン参加済みの企業端末のみにModeloRATを展開する。個人端末は別のペイロードが使用される場合があり、企業のActive Directory環境へのアクセスが主な目的とされている。

ClickFix系攻撃から組織を守るには何が最も効果的ですか?

最も効果的なのは、正規ソフトウェアがWin+Rへのコマンド貼り付けを求めることはないという認識の浸透である。技術的にはPowerShell実行制御、ブラウザ拡張機能のホワイトリスト管理、finger.exeの通信ブロックを組み合わせた多層防御が推奨される。

参考文献