本記事では,CYNEX Co-Nexus Aの解析活動の一環としてClickFix/FileFixを観測した結果を紹介します.なお,本観測は2025年12月に実施したものとなります.
セキュリティベンダの報告によると,近年ClickFixによる攻撃が急増しており,2025年前半ではフィッシング詐欺に次いで2番目に多い攻撃と言われています[1].
ClickFixおよびFileFixの特性として,認証などの見慣れた画面を用いて正規の操作であると誤認させる点が挙げられます.騙されたユーザが、自ら行ってしまう操作(コマンド実行)であるため,セキュリティ製品による検知を回避しやすいという特徴があります.また,展開されるマルウェアの多くがinfostealer(情報窃取マルウェア)とされ,2025年に国内で発生した証券会社の口座乗っ取り事件でもinfostealerが使用されたことが報道されています[2][3].
これらは金融庁が掲載している証券口座の乗っ取り被害が増加した時期[4]とも重なる部分があり,ClickFixおよびFileFixの手法が疑われることから世間の関心度が高いと考え,今回観測を実施しました.
ClickFixとは,まず第一にWebサイトに偽のCAPCHA認証やシステムトラブルがあったというようなメッセージを表示し,ユーザを騙そうとします。次に、騙されたユーザが、画面の指示に従い自らの操作で、クリップボードへ不正なコマンドを挿入,その後,Windowsキー + R(コマンドを指定して実行)からコマンドを実行してマルウェアに感染させる、という流れの攻撃です.2024年上期に報告されはじめたもので,2025年には国家支援(北朝鮮・ロシア・イラン等)の攻撃者にも浸透しつつある攻撃手法です[5].
* CAPTCHA認証 : アクセスしている相手が人間かコンピュータ(ボット)かどうかを判別するための認証方式.コンピュータには困難な課題を提示することで,相手が人間であることを確認する仕組み.
FileFixとは,Webサイト閲覧者に対して通常のファイルダウンロード操作に見せかけ,エクスプローラー上で不正なコマンドを実行するように仕向ける攻撃手法です.ClickFixに代わる新たな攻撃手法としてセキュリティ研究者によって2025年6月に発表され,同年7月にはFileFixを用いた攻撃が観測されました[6].
ClickFixおよびFileFixを新たに観測しようとする際の課題として、セキュリティベンダがIoCとして公開している既知のWebサイトは閉鎖または対策済みであることが多く観測には不向きであり,まず活動中のWebサイトを見つけるところから始める必要があります.そこでまず私たちは,オンライン型のサンドボックスであるAny.run[7]で公開されているレポートからClickFixおよびFileFixに関連する検体を調査し,改ざんされたWebサイトのタイトルやロゴのhash値といった共通点の洗い出し調査を行いました.調査の結果,大手CDN事業者の認証機能に偽装したWebサイトはタイトルに「CheckingS if you are human」が高確率で含まれている等が判明しました.
次に,Urlscan.io[8] にて上記の文字列から要素検索を行うことで活動中のWebサイトを探しました.結果、いくつかの活動中のサイトを見つけることができました。
以降では,STARDUST環境で実際にWebサイトへアクセスし,どのような挙動を示したのか,観測結果を示します.
今回観測・解析したClickFixについて,Webサイトへのアクセスからコマンド実行までの流れと,コマンド実行後のプロセスを解説します.
Webサイトへのアクセスからコマンド実行までの流れ
攻撃者が用意したWebサイト(https[:]//pbcustomercare[.]com/)にアクセスすると,図4のCAPTCHA認証画面が表示されました.
ここで「I’m not a robot」にチェックを入れると図5の画面に遷移し,ロボットではないことを証明するために「Windowsキー + R」,「Ctrl + V」,「Enter」を順に実行するよう指示が表示されました.なお,図4の画面でチェックを入れた時点で,クリップボードに不正なコマンドがコピーされていました(図5右).
画面の指示に従って操作を行うと,「ファイル名を指定して実行」のウィンドウは終了し,WebサイトおよびPC上の見た目の変化はありませんでした.
この時の様子をProcess Monitorで確認すると「conhost.exe」,「powershell.exe」,「attrib.exe」,「client32.exe」が起動されていました.後述の「コマンド実行後のプロセス」の中で詳細を解説します.
今回アクセスしたWebサイトのHTMLのソースを確認すると,1021行目にクリップボードにコピーされたコマンドと思われる記述があり,1233行目周辺には「I’m not a robot」にチェックが入った際に1021行目のコマンドをクリップボードにコピーするコードがありました.
コマンド実行後のプロセス
コマンド実行後のプロセスを解説します.
この動作フローにおける主なプロセスや通信先の情報を以下の表に示します.
以下に挙動の詳細を解説します.
まず,図5の指示に従って操作するとPowerShellが実行され,コマンドプロンプトやPowerShellのコンソール画面を制御するプログラムであるconhost.exeが起動しました.
次に,URL(http[:]//87[.]120[.]120[.]100/kamet1[.]wav)にアクセスし, kamet1.wavを取得しました.「.wav」は動画系の拡張子ですが,実際の中身はPowerShellのコマンドが記述されているテキストファイルでした.
その後,kamet1.wavはドロッパーとして活動を開始し,client32.exeを含む複数のファイルが展開されました.これらのファイルはリモートアクセスツールであるNetSupportのアプリケーションの構成ファイルであり,展開時にはアンチウイルスソフトによる検知を避けるためか拡張子が「mp4」,「csv」,「docx」,「jpg」などに偽装して生成されており,生成完了後に正式な拡張子である「dll」,「ini」,「exe」などに変更されました.
スタートアップフォルダにショートカットを設置することで永続化を目的としたと思われる操作も行われていました.また,スタートメニューのショートカットファイルはattrib.exeを使用して「非表示」属性が付与されていました.
さらに,client32.iniファイルの中にはC2サーバと思われるドメインの記載もありました.
次に,NetSupportのクライアント実行ファイルであるclient32.exeが,client32.iniに記述されていた通信先ドメイン(automarketingsales[.]com)に対して通信を開始しました.通信内容を見るとCMD,ES,DATAなど定型的な内容を含むfakeurl.htmを絶えずpostしており,サーバからは暗号化されたコマンドやデータを返している様子が見られましたが,DATA部分は内容が暗号化されていたため具体的な通信内容は特定することができませんでした.
今回の観測を実施している間,解析環境に対して不審な操作が行われなかったこと,および通信データも極端に増加していないことから観測中に攻撃者が直接侵入してくることはなかったと推測しています.
また,client32.exeは位置情報を特定するためgeo[.]netsupportsoftware[.]comに対しても通信を行っていました.
以上がClickFixの観測事例となります.
今回観測・解析したFileFixについて,Webサイトへのアクセスからコマンド実行までの流れと,コマンド実行後のプロセスを解説します.
Webサイトへのアクセスからコマンド実行までの流れ
攻撃者が用意したWebサイト(https[:]//hyperliquidtools[.]com/)にアクセスすると,Cookieが無効なため指示に従ってCookieを有効にするよう求められ,「Save Cookies」を押下するとクリップボードにコマンドがコピーされました.
クリップボードにコマンドがコピーされるのと同時にエクスプローラーが起動し,画面の指示に従って操作を行うとアドレスバーにコマンドが張り付けられ,クリップボードにコピーされたコマンドが実行されました.
この時の様子をProcess Monitorで確認すると,「conhost.exe」,「powershell.exe」,「cmd.exe」が起動されていました.後述の「コマンド実行後のプロセス」の中で詳細を解説します.
コマンド実行後のプロセス
コマンド実行後のプロセスを解説します.
この動作フローにおける主なプロセスや通信先の情報を以下の表に示します.
以下に挙動の詳細を解説します.
まず,図13の指示に従って操作すると,mshtaの実行コマンドにより,クリップボードにコピーされた通信先ドメイン(hyperliquidtools[.]com)へアクセスしました.
当該ドメインへのアクセスはTLSで暗号化されていたため,通信内容の詳細は確認できませんでしたが,後続の動作であるDropperを取得するための簡易なスクリプトやコマンドを取得していたと推測しています.
次に,cmd.exe経由でpowershell.exeが起動し,通信先ドメイン(pub-b156ef7b8e9141738331d7cd7868c327[.]r2[.]dev)からドロッパーであるoutput.batをダウンロードし,「165597.bat」の名前で保存していました.
165597.batはbase64でエンコードしたコマンドをランダムな変数や環境変数に分割格納することで難読化されていました.
165597.batによって実行されたコマンドラインを確認するとHDDの情報を取得し,FriendlyNameフィールドに「DADY HARDDISK」または「QEMU HARDDISK」が含まれている場合に処理を終了するものでした.これらは仮想環境やサンドボックス環境で使用されることのある仮想ディスク名であることから,分析の妨害を狙った処理であると推測しています.
同時に,165597.bat はランダムに生成された変数を結合し,端末内の情報を収集するなどのメイン処理を実行しようとしていました.
しかし,これ以降の動作は観測されませんでした.Dropperに不備があったか,仮想環境判定など何らかのルールに抵触して停止したと思われます.
また,FileFixの観測開始から数時間後に同じWebサイトにアクセスすると,大手CDN事業者系のClickFixに変更されていました.クリップボードに挿入されるmshtaの実行コマンドは変更されていなかったことから,同一の攻撃者がサイトの作り変えを行っていたと思われます.
以上がFileFixの観測事例となります.
STARDUSTを用いた取り組みの一環で行ったClickFixおよびFileFixの2つの攻撃手法について,観測結果を共有しました.どちらの事例もクリップボード機能を悪用してコマンド実行を促すものであり,一見正当な理由(CAPTCHA認証画面,Cookie要求ポップアップ)を提示することでユーザを信頼させ,指示した操作を実行するよう誘導していました.マルウェアに感染させる手口は巧妙化しておりますが,基本的な対策を行うことでリスク低減は可能と考えております.
以下に一般的な対応を記述します.
[PCの利用者]
[PCの管理者]
我々は,今後もSTARDUSTを用いて観測した攻撃について発信を行っていく予定です.
[1] https://www.welivesecurity.com/en/eset-research/eset-threat-report-h1-2025/
[2] https://www.ntt.com/bizon/hack-account.html
[3] https://xtech.nikkei.com/atcl/nxt/column/18/00001/10532/
[4] https://www.fsa.go.jp/ordinary/chuui/chuui_phishing.html
[5] https://jpn.nec.com/cybersecurity/intelligence/250514/index.html
[6] https://www.daj.jp/security_reports/48/
今回の観測にあたり,複数のClickFixおよびFileFixのWebサイトを調査しました.その調査で得られた集計結果やWebサイトの事例を付録としてご紹介します.
クリップボードにコピーされたコマンドにて実行されるファイルタイプ
クリップボードにコピーされるコマンド(Dropper)で使用されるファイルタイプの集計結果を示します.
2025年12月以降,msiによる実行が増えており,ClickFixの認証画面で多言語に対応しているものはmsiが多く,英語のみのものはpowershellが多いといった傾向が見られました.
マルウェアの種類による集計
端末で最終的に実行されるマルウェアの種類に集計結果を示します.マルウェアの取得まで至らず,loader/Dropperで停止した場合は不明としています.
マルウェアの種類はinfostealerが最も多く,正規のリモートアクセスツールが使用されている事例も見つかっています.他にも様々な種類のマルウェアやリモートアクセスツールが使用されている可能性があります.
例1 reCAPTCHA型のClickFix(その1)
Webサイト内で「I’m not a robot」のチェックを入れると,今回観測したClickFixのWebサイトと同じような画面が表示されます.こちらの事例では,reCAPCHAの画像にオンライン百科事典サイトから取得したsvg画像が使用されていました.
例2 reCAPTCHA型のClickFix(その2)
例1のWebサイトと異なり,「I’m not a robot」のチェックを入れた後に画像の選択を求められるパターンも存在します.ホテル予約サイトに似たWebサイトで,画像認証では何を選んでも失敗して,コマンドを実行するよう誘導されました.
例3 セキュリティスキャン失敗を装ったClickFix
Webサイト内で「Verify you are human」のチェックを入れると全画面表示となり,スキャンが進行するアニメーションとともにシステムに問題がある旨のメッセージを表示し,コマンドの実行を誘導するものがありました.
例1 PDFのダウンロードを装ったFileFix
「1.Copy the File path below」にあるテキストボックスをクリックするとコマンドがコピーされ,「Open File Explorer」を選択するとエクスプローラーが起動します.
コマンドをペーストすると図31のようになりましたが,アドレスバーの先頭にカーソルを合わせると,図32のように不審なコマンドが混入していることが分かりました.大量のスペースを挿入することで,一見ではコマンドがあることに気づかれないよう工夫されていました.
例2 オンライン会議ツールのアップデートを装うFileFix
オンライン会議ツールを装い,会議に参加しようとするユーザに,アプリケーションのバージョンが古いため最新バージョンを入手するよう誘導するFileFixの事例もありました.
Posted:Shun SUZUKI, Tomoya KIMIJIMA (Hitachi Systems, Ltd.), Takayuki SATO (Hitachi, Ltd.), Shingo YASUDA (NICT)
©2026 Cybersecurity Nexus
