ネットでよくある質問｢人間ですか？｣に潜む罠､不正な操作へと誘導しマルウェアに感染させる｢ClickFix（クリックフィックス）｣攻撃の被害急増

ClickFixは手口の巧妙さゆえに、本人がだまされたことに気付いていないケースが多いと想定される。その後に起きるさまざまな被害の源流がClickFixであると特定しづらく、被害は表面化しにくい。公の報告事例は氷山の一角といえる。

正規サイトやSNSにも注意

ClickFixに遭遇するのは、偽サイトだけではない。一般の正規サイトでも被害に遭う可能性がある。

2025年2月、アメリカの理学療法関連の正規サイトにClickFixが表示された事例が報告されている。2025年3月にはアメリカコネチカット州の「LES Automotive」社でも同様の事案が発生。同社の動画共有サービスを利用する100を超える自動車ディーラーのサイトで、訪問者にClickFixが表示されるようになっていた。

これらは脆弱性が悪用され、サイトが改ざんされることで発生する。正規サイト自体にClickFixの不正コードが埋め込まれるため、URLも本物だ。サイトの運用側に脆弱性があれば、どのような正規サイトでも同様のリスクがある。

一方、脆弱性や改ざんがなくても、正規サイト上の広告欄から不正サイトへ誘導されるケースも存在する。検索サイトでは、検索結果の上位に表示される広告欄に潜む例もある。

偽サイトによるフィッシングは広く認知されているが、正規サイトや検索サイトからも偽の画面につながる可能性を想定できているユーザーは少ない。

SNSでも警戒が必要だ。お得な情報や儲け話を装いClickFixへ誘う日本語のポストを複数確認している。普段フォローしている公式アカウントが乗っ取られ、突然ClickFixへ誘導するポストが流れる事例もある。

ClickFixが従来のフィッシングと異なる点は、巧妙な心理操作と被害の深刻度にある。

「修正」や「確認」といった問題解決の文脈でユーザーの協力を求める点が特徴的だ。こうした流れはウェブ利用時に自然に受け入れられやすく、パソコン操作に自信があるユーザーほど自力解決を試みる傾向がある。