AppleがmacOSに「ClickFix攻撃」ブロック機能を搭載
Appleは2026年3月にリリースしたmacOS Tahoe 26.4において、ターミナル(Terminal.app)への危険なコマンド貼り付けを検出・警告する新しいセキュリティ機能を導入した。この機能は、近年急増している「ClickFix攻撃」への直接的な対策と見られている。
ClickFix攻撃とは
ClickFixは、ユーザーを騙してコマンドラインに悪意あるコマンドを貼り付けさせるソーシャルエンジニアリング手法だ。攻撃者は「問題を修正するために以下のコマンドを実行してください」「本人確認のため以下を入力してください」などの口実を使い、マルウェアをインストールさせるコマンドを実行させる。
ユーザー自身が操作を行うため、従来のセキュリティ対策をすり抜けやすいのが特徴で、WindowsだけでなくmacOSを標的とした事例も増加している。
新機能の動作
新機能は、SafariからコピーしたコマンドをTerminalに貼り付けた際に動作することが利用者の報告から判明している。具体的には以下のように機能する。
- コマンドの実行を一時停止し、警告ダイアログを表示
- 「システムへの被害はまだ発生していない」ことをユーザーに通知
- 詐欺師が悪意ある手順をさまざまな経路で配布することがある旨を説明
- ユーザーは「貼り付けをキャンセル」または「理解した上で続行」を選択できる
現時点での制限事項
Appleはこの機能についての公式サポートドキュメントをまだ公開していない。ユーザーの検証によると、警告は1セッションにつき1回のみ表示され、同じセッション内で複数の危険なコマンドをテストしても2回目以降は警告が出なかったという報告もある。また、無害なコマンドでは警告が出ないことから、何らかのコマンド解析が行われている可能性も指摘されている。
現時点でシステムがどのようにリスクを判定しているかは不明であり、この機能だけを過信することは推奨されない。
ユーザーへの推奨事項
Appleの新機能は有効な対策だが、すべての危険なケースを検出できるかは保証されていない。ClickFix攻撃から身を守るためには、以下の基本的な対策が引き続き重要だ。
- 意味を理解していないコマンドは絶対に実行しない
- Webサイトや不審なメッセージが「コマンドを実行するよう」誘導してきたら疑う
sudoを含むコマンドや、見慣れないURLを含むコマンドには特に注意する
macOS向けのClickFix攻撃は、Infinity StealerやClaude LLMを悪用した情報窃取マルウェアの配布など、手口が多様化している。Appleの今回の対応はOSレベルでの防御として評価できるが、最終的にはユーザー自身のリテラシーが最大の防壁となる。
元記事: Apple adds macOS Terminal warning to block ClickFix attacks