クリップボードを悪用した新手サイバー攻撃「ClickFix」に要注意
この記事の内容
- Webサイト上でクリックするだけで、クリップボードに不正な命令文がコピーされる攻撃手法が急増しています
- 攻撃者はその後「Windowsキー+R」などのショートカット操作を誘導し、ユーザー自身にマルウェアを実行させます
- Windows以外にもMacやLinuxへの応用が可能で、攻撃のバリエーションは多岐にわたります
- 正規サイトが改ざんされているケースもあり、「いつも使っているサイト」でも油断は禁物です
- 「ブラウザ上でキーボード操作を求められたら疑う」という習慣が最大の防御策です
話題になった「コピペしたら感染」という記事
最近、「コピペしたら感染」という見出しの記事が話題となっています。日経などのメディアでも取り上げられ、専門家も注意喚起を行っています。
記事のタイトルは少しセンセーショナルに聞こえるかもしれませんが、実際に起きていることはそれに近い現象です。Webサイト上で「あなたが人間であることを確認します」といった表示とともにクリックを促す仕組みがあり、不用意にクリックすると、クリップボードに不正な命令文がコピーされてしまうというものです。
攻撃の仕組み:どうやってユーザーを騙すのか
ステップ1:クリップボードへの書き込み
Webサイト上で何かをクリックした際、JavaScriptなどを用いてクリップボードに任意の文字列(命令文など)をコピーさせることが技術的に可能です。攻撃者はこの仕組みを利用し、ユーザーが気づかないうちに不正な命令文をクリップボードへ書き込みます。
ステップ2:実行を誘導する手順の指示
クリップボードへの書き込みが完了した後、画面上で以下のような操作手順が表示されます。
- Windowsキー + R を押す(「ファイル名を指定して実行」ダイアログが開く)
- Ctrl + V で貼り付け
- Enter を押して実行
「ファイル名を指定して実行」はプログラムやコマンドを直接起動できる機能です。ここにクリップボードの内容を貼り付けて実行すると、ユーザー自身がマルウェアを起動してしまうことになります。
この手口が巧妙なのは、操作者が自ら実行しているという点です。セキュリティソフトウェアやエンドポイント保護をすり抜けやすく、普段「ファイル名を指定して実行」を使い慣れていないユーザーほど、指示通りに操作してしまう危険性があります。
Windows以外のOSも対象に
この攻撃手法はWindowsだけでなく、MacやLinuxなど他のOSでも応用が可能です。
| OS | 誘導先の操作 |
|---|---|
| Windows | Windowsキー + R(ファイル名を指定して実行) |
| macOS | Command + Space(Spotlight検索) |
| Linux | Alt + F2(コマンド実行ダイアログ) |
また、コマンドプロンプトやターミナルを直接開かせるパターンなど、実行環境のバリエーションも多岐にわたります。特定のOSや環境を使っているから安全、とは言えない点に注意が必要です。
攻撃の巧妙化:どんな手口で誘導されるのか
攻撃者はさまざまな手口でユーザーを騙してきます。代表的なパターンを以下に挙げます。
- デバイスエラーの偽装:「エラーが発生しました。修復するには以下の手順を実行してください」
- 採用面接の偽装:面接フローの中に紛れ込ませる
- セキュリティ通知の偽装:「あなたのアカウントが危険にさらされています」
- 脆弱性報告の偽装:技術者向けの体裁を装った指示
一見怪しいものだけでなく、普段アクセスしている正規サイトが改ざんされているケースも報告されています。「いつも使っているサイトだから大丈夫」という思い込みが、攻撃者にとっては好都合な状況を作り出してしまいます。
防御策:被害を防ぐために知っておくべきこと
ブラウザ上でキーボード操作を求められたら疑う
通常、Webサイトを閲覧する際に「Windowsキー+R」などのOSのショートカットキーを押すよう求められることはありません。このような指示が表示された時点で、攻撃の可能性を強く疑ってください。
「いつものサイト」でも油断しない
正規サイトが改ざんされている可能性があります。普段と異なる挙動や、不審な指示が表示された際は操作を止めて確認しましょう。
攻撃パターンを知っておく
攻撃手法は日々進化しています。どのような手口があるかを事前に知っているだけでも、被害に遭うリスクを大幅に下げることができます。「こういう手口があるんだ」と知識として持っておくことが、最初の防衛線となります。
万が一の備えもしておく
被害が発生してしまった場合に備え、クレジットカードの利用停止連絡先や、重要なアカウントの2段階認証設定など、事前の対策も重要です。被害を受けてから動くのでは遅い場合もあります。
信頼の問題:完全な安全はあり得ない
インターネット上の情報や操作すべてを疑うことは現実的ではありません。私たちは日々、何らかの「信頼」に基づいてWebサービスやソフトウェアを利用しています。
オープンソースソフトウェアであっても、すべてのコードを自分で確認することは困難です。最終的には「信頼できるかどうか」を見極める目を養うことが重要になります。
「この操作は本当に必要なのか?」「この指示は信頼できる発信源からのものか?」という問いを習慣にすることが、今後ますます重要になってきます。
まとめ
クリップボードを悪用した「ClickFix」攻撃は、技術的な脆弱性ではなく人間の行動を突いた巧妙な手口です。ポイントをまとめます。
- Webサイト上のクリックでクリップボードに不正な命令文が書き込まれる
- 「Windowsキー+R」などの操作でユーザー自身がマルウェアを実行させられる
- Windows・Mac・Linuxと幅広いOSが対象となりうる
- 正規サイトの改ざんなど、巧妙化した手口も増加している
- 「ブラウザ上でキーボード操作を求められたら操作を止める」 が最大の防御策
どれほどITに詳しいユーザーであっても、巧妙に作られた攻撃の前では油断は禁物です。少しでも不審に感じたら操作を止め、情報を確認する習慣を身につけましょう。
─────────────────────────────────────────────────