「ClickFix」と呼ばれる攻撃手法は、Webサイトでよく見かける「私はロボットではありません」のCAPTCHA認証を偽装し、ユーザーに特定のキーボード操作をさせることでマルウェアを実行させる手口です。この攻撃は2024年12月から確認されており、主に「Storm-1865」と呼ばれるサイバー犯罪集団によって行われています。
1. ユーザーは詐欺メールのリンクをクリックし、正規サイト(例:Booking.com)に見せかけた詐欺サイトへ誘導されます。
↑ 上の「私はロボットではありません」をクリックしてデモを続行
2. ユーザーがチェックボックスをクリックすると、「人間であることを確認するため」と称して特定のキーボード操作を要求されます。
人間であることを確認するために以下の手順を実行してください:
3. 指示に従うと、Windowsの「ファイル名を指定して実行」ダイアログが開きます。
実行するプログラム名、フォルダー名、ドキュメント名、またはインターネットリソースを入力し、[OK]をクリックしてください。
※実際には不正サイトの仮想クリップボードから、悪意のあるコードが自動的にペーストされています。
4. [OK]ボタンをクリックすると、マルウェアが実行されます。
| 標的業界/サービス | 攻撃手法 | 報告時期 | 備考 |
|---|---|---|---|
| 旅行業界 (Booking.com) |
宿泊施設担当者へのフィードバック通知や問い合わせを装った詐欺メール | 2024年12月~ 2025年2月現在も継続中 |
アカウント乗っ取り後、予約客へ決済情報の提供を求める二次被害も |
| ヘルスケア業界 (HEP2go) |
正規サイトへのアクセス時に不正サイトへリダイレクト | 2025年2月下旬~ | 理学療法士などの専門家が標的 |
| Webブラウザユーザー | Google ChromeやFacebookのエラーページを装い「Fix it」ボタンを表示 | 2024年10月頃~ | 米保健社会福祉省が注意喚起 |
| その他 | ゲーム、PDF閲覧ソフト、Zoomアプリなどを探すユーザーを標的 | 2024年~ | 幅広いユーザーが標的に |
CAPTCHAは多くのWebサイトで一般的に使用されているため、ユーザーは疑いを持ちにくい
マルウェアをユーザー自身のキーボード操作で実行させるため、Webブラウザのセキュリティ対策をすり抜けやすい
旅行業界やヘルスケア業界など、特定の業界や役割の人々を標的にした詐欺メールを送信