Maltiverse

偽CAPTCHA「ClickFix」インフォスティーラー攻撃が急増中 ─ MaltiverseでIOCを即座に検知・ブロック

2024 年末以降、「ClickFix」「Fake CAPTCHA」 と呼ばれる新手のソーシャルエンジニアリング手法が世界中で猛威を振るっています。 ユーザー自身に 「Win+R → Ctrl+V → Enter」 の 3 アクションを実行させてパワーシェル経由でマルウェアを落とす――という極めて巧妙な手口で、情報窃取型マルウェア(Infostealer) を中心に多様なペイロードが配布されています。 本記事では攻撃の最新動向と IOC (Indicators of Compromise) を整理し、Maltiverse脅威インテリジェンスプラットフォームでどのように検知・ブロックを実現できるかを解説します。

目次

ClickFix とは?

ClickFix は、ユーザーに「今すぐ問題を修正(Fix)」「私はロボットではありません」といった 偽 CAPTCHA/エラーダイアログ を提示し、クリップボードにコピー済みの PowerShell コマンドを自発的に実行させるソーシャルエンジニアリング手法です。 初出は 2023 年末ですが、2024 → 2025 年にかけて被害件数が 500 % 以上増加 したと Splunk Threat Research は報告しています。

攻撃フローと被害規模

  1. 初期侵入 — フィッシングメール、SEO ポイズニング、改ざんサイト、マルバタイジング 等。
  2. 偽 UI 表示 — reCAPTCHA 風のチェックボックスや「Fix Now」ボタンを表示。
  3. クリップボード汚染 — JavaScript が悪性 PowerShell コマンドを自動コピー。
  4. 三段階操作 — 「Win+R」 で Run ダイアログ→「Ctrl+V」→「Enter」。
  5. ペイロード展開 — Lumma Stealer、NetSupport RAT、Latrodectus などをダウンロード。

GoDaddy セキュリティチームによると、偽 WordPress プラグイン経由の亜種だけでも 25,000 超のサイト が感染し、2024 ~ 2025 年にかけてさらに 6,000 件以上 の新規ドメインが確認されています。

主要 IOC 一覧 (2025‑07 時点)

Cyber Security Agency of Singapore が 2025‑07‑10 公開したアラートから代表的な SHA‑256 ハッシュを抜粋します。

マルウェアSHA‑256備考
Lumma Stealer2bc23b53bb76e59d84b0175e8cba6869…PartyContinued.exe
Latrodectus5809c889e7507d357e64ea15c7d7b220…libecf.dll
NetSupport RAT5c762ff1f604e92ecd9fd1dc5d1cb24b…data_3.bin

Maltiverse での対応方法

1. 数十万件規模の IOC を即時取り込み

Maltiverse は 100+ ソースから自動収集・重複排除した IOC をほぼリアルタイムでデータベース化。CSA や GoDaddy、Splunk などが公開した ClickFix 関連 IOC も 数分~数時間以内 に検索・フィード配信が可能です。

2. SIEM/EDR/SOAR との連携で自動ブロック

27 種以上の連携コネクタを標準装備しており、既存の Firewall/EDR/SIEM に ドラッグ&ドロップ感覚 で統合できます。IOC マッチ時は即遮断またはアラートを発火し、ユーザーが PowerShell を走らせた直後でも被害を最小化できます。

3. エイジング & スコアリングで誤検知抑制

ClickFix 亜種は短期間で C2 ドメインやハッシュを使い捨てるケースが多いですが、Maltiverse の リアルタイム・スコアリング自動エイジング により期限切れ IOC を段階的にダウングレード。不要なブロックや SOC ノイズを低減します。

企業が取るべき 5 つの対策

  1. ユーザー教育 ― 「Win+R でコマンド実行を促すダイアログは疑え」と周知。
  2. アプリケーション制御 ― PowerShell/mshta.exe に実行制限を設定。
  3. ブラウザハードニング ― 拡張機能・ポップアップ制御で悪性 JS の実行を抑止。
  4. IOC フィード活用 ― Maltiverse 等 TI プラットフォームで最新ドメイン・ハッシュをブロック。:contentReference[oaicite:7]{index=7}
  5. 多層ログ監視 ― SIEM で PowerShell イベント ID 4104/4103 をリアルタイム検知。

まとめ & 次のステップ

ClickFix はゼロデイ脆弱性を使わずにユーザー操作を巧みに誘導するため、技術的防御だけでは不十分 です。
ただし最新 IOC を即時に取り込み、実行ログを包括的に可視化できるプラットフォームを導入すれば、「感染前」 もしくは 「侵入直後」 の段階で止められるケースは大幅に増えます。

当ブログでは今後も様々な製品をさらに便利に使いこなすための情報を発信してまいります。
ぜひブックマークのうえ、最新記事をお見逃しなく!

商品の詳細とお問い合わせはこちらから↓↓
 Maltiverse製品ページ

worldsoftへのお問い合わせはこちらから

-Maltiverse
-,