オーストラリア政府のサイバーセキュリティ機関ACSC(Australian Cyber Security Centre)が2026年5月、「ClickFix」と呼ばれるソーシャルエンジニアリング手法を悪用してVidar Stealerマルウェアを拡散するキャンペーンに対し正式な警告アドバイザリを発出した。攻撃者は侵害済みのWordPressサイトを踏み台にし、被害者を偽のCloudflare認証画面へ誘導してPowerShellコマンドを手動実行させるという巧妙な手口を使っている。

ClickFix攻撃の仕組み:「自分で実行させる」が防御を難しくする

ClickFixは近年急速に普及しているソーシャルエンジニアリング攻撃手法だ。その特徴は、マルウェアを直接ダウンロードさせるのではなく、ユーザー自身に悪意のあるコマンドを実行させる点にある。

典型的な攻撃フローは以下の通りだ:

  • 侵害済みWordPressサイト(または悪意のあるサイト)にユーザーが誘導される
  • 偽のCloudflare認証画面または偽CAPTCHAが表示される
  • 「確認のためにこの操作が必要です」と称してPowerShellコマンドをコピーするよう促される
  • ユーザーがコマンドをPowerShellに貼り付けて実行するとVidar Stealerに感染する

この手口が危険なのは、セキュリティソフトによる検知を回避しやすい点だ。ユーザー自身がコマンドを実行するため「正当なユーザー操作」として処理されてしまう。偽のCloudflare認証ページは精巧に作られており、一般ユーザーが本物と区別するのは困難な状況になっている。

Vidar Stealer:8年の歴史を持つ情報窃取マルウェア

Vidar Stealerは2018年末から活動を続ける老舗のマルウェアだ。MaaS(Malware-as-a-Service)モデルで提供されており、技術力のない攻撃者でも容易に利用できる。標的にするデータは幅広い:

  • ブラウザのパスワード・Cookie・オートフィル情報
  • 暗号資産ウォレット(MetaMaskなど)
  • システム情報全般

近年では機能強化版もリリースされており、感染後に実行ファイルを自己削除してメモリ上でのみ動作するなど、フォレンジック調査を困難にする機能が追加されている。

さらに厄介なのがC2(コマンド&コントロール)通信の手法だ。TelegramボットやSteamのプロフィールページなどの公開サービスを「デッドドロップ(dead-drop)」として悪用し、攻撃者の本当のC2サーバーアドレスを取得する仕組みになっている。一般的なファイアウォールでは公開サービスへのアクセスを遮断しにくいため、この手口は検知を大幅に難しくする。

今すぐ確認すべき具体的な対策

ACSCは以下の対策を推奨しており、日本の組織にも直接適用できる。

PowerShell実行ポリシーの制限

PowerShellの実行ポリシーを AllSigned または RemoteSigned に設定し、署名のないスクリプトの実行をブロックする。一般ユーザーに不必要なPowerShell実行権限を与えないことが重要だ。グループポリシーで組織全体に適用することを推奨する。

アプリケーション許可リストの導入

Windows Defender Application Control(WDAC)やAppLockerを活用し、許可されていないアプリケーション・スクリプトの実行を防ぐ。完璧な許可リストの構築は工数がかかるが、まずPowerShellの制限だけでもClickFix攻撃の大部分を防げる。

WordPressサイト管理者向け対策

  • テーマとプラグインを最新バージョンに即時更新
  • 使用していないテーマ・プラグインは即刻削除
  • ファイル変更の監視ログを有効化し、定期的にレビュー

IoC(侵害指標)の確認

ACSCの公式アドバイザリにはIoCが掲載されている。SIEMやEDRにルールを追加し、既存の侵害がないか確認することを強く勧める。

実務への影響

ClickFix攻撃は2024年末から急増しており、日本でも同様の手法による攻撃が報告されている。特に懸念されるのは次の3点だ。

エンドユーザー教育だけでは防げない: 「怪しいリンクを踏むな」的なセキュリティ教育だけでは防ぎきれない。偽CAPTCHAは非常に本物に近く、「確認のためにコマンドを実行する」という操作自体が不自然に感じられない状況が作られている。技術的な制御との組み合わせが必須だ。

侵害WordPressサイトの連鎖リスク: 自社が直接攻撃されるのではなく、取引先や業界関連サイトが踏み台にされるケースが多い。自社WordPressサイトのセキュリティ強化は、自社だけでなくサプライチェーン全体の防御に繋がる。

テレワーク環境でのリスク増大: 社内ネットワーク外で業務するユーザーが増えた現在、エンドポイント保護とゼロトラストアーキテクチャの整備がますます重要になっている。VPNに依存した境界防御型の構成では、エンドポイントが侵害された後の横展開を止める手段が乏しい。

筆者の見解

ClickFix攻撃が厄介なのは、技術的な脆弱性ではなく「人間のクセ」を突いてくる点だ。「確認のためにこのコマンドを実行してください」という指示に、ユーザーは悪意なく従ってしまう。これは教育でカバーするには限界がある。

PowerShell実行の制限やアプリケーション制御は、管理者にとって実装の手間が伴う対策だ。特にIT環境が成熟していない組織では「今動いているからとりあえず」の運用が続きがちで、このような技術的制御が後回しにされる現実がある。

しかしVidar Stealerが奪うのは「ブラウザに保存されたパスワード全件」だ。業務システムのアクセス情報、クラウドサービスのセッションCookie、サービスアカウントの認証情報が一度に漏れる可能性を考えると、その被害は組織の機能停止レベルに達しうる。Non-Human Identity(NHI)管理の観点でも、サービスアカウントの認証情報が盗まれた場合の影響範囲は通常の人間アカウントより広くなりやすい。

ACSCのアドバイザリは、今週中にでもPowerShell実行ポリシーの現状設定を確認する動機として十分だ。完璧なゼロトラスト環境の構築は長期目標でいいが、「まず手軽にできる一手」から始めることが現実的で効果的な防御策になる。

出典: この記事は Australia warns of ClickFix attacks pushing Vidar Stealer malware の内容をもとに、筆者の見解を加えて独自に執筆したものです。