ネットでよくある質問｢人間ですか？｣に潜む罠､不正な操作へと誘導しマルウェアに感染させる｢ClickFix（クリックフィックス）｣攻撃の被害急増

多くのユーザーは、入力には警戒するが、キー操作への警戒心は低い。急ぐ状況では、画面の指示に従いやすくなる。

被害の深刻度も大きく異なる。従来のフィッシングでは特定サイトのパスワード漏洩とそれに伴う被害が中心だが、ClickFixはマルウェア感染を直接引き起こす。

個人・法人を問わず、あらゆるパスワードや重要データが盗まれ、ランサムウェアでは業務が完全に停止する事態にまで発展する。1台の感染を起点として他のパソコンやサーバーへと2次被害が拡大し、個人情報漏洩から企業の存続危機に至るまで、顧客をも巻き込んだ深刻なリスクへと直結する。

対策は？「キー操作の指示」には要注意

どう対策をすればいいのか。組織対策では、社員の操作権限を必要最小限にするなどの技術的対策に加え、脅威の周知が重要となる。「人間かどうかの確認」は正常なサイトでも使用されるため、それ自体を危険と誤解してはならない。警戒すべきは、その確認の直後にキー操作の指示が表示される場合だ。

通常、複数キーの同時押しを要求されることはない。このような指示には決して従わないことが重要である。個人の対策では、普段利用するサイトへはブックマークからアクセスし、メールなどのリンク経由を避ける習慣が有効だ。

◎ClickFixでマルウェア感染につながる危険な3つのステップと注意点

ClickFix攻撃は技術的な脆弱性ではなく、人間を不正な操作へ誘導するだましの手口である。初心者は正規の手続きと信じて指示に従い、パソコンに自信がある者は自力解決を試みて罠に陥る。

より複雑な亜種も出現しており、詳しいユーザーが単純と軽視する油断も新たなリスクにつながる。最新の脅威を知り、不審な指示には従わないという原則を守ることが、最も確実な防御策となる。 

東洋経済Tech×サイバーセキュリティでは、サイバー攻撃、セキュリティーの最新動向、事業継続を可能にするために必要な情報をお届けしています。

著者フォローすると、吉川 孝志さんの最新記事をメールでお知らせします。