Executive Summary

Insikt Group 、ClickFixのソーシャルエンジニアリングの手法TTPsを利用してホストシステムへの初期アクセスを容易にする、5つの異なるクラスターを特定した。 少なくとも2024年5月以降に確認されたこれらのクラスターには、財務アプリケーションのIntuit QuickBooksや旅行代理店Booking.comになりすますものなどが含まれる。Insikt Groupは、Recorded Future ® HTMLコンテンツ分析データセットを活用し、埋め込まれたWebアーティファクトを体系的に監視することで、新たな悪意のあるドメインやインフラストラクチャを特定し、追跡しました。

これらのクラスターは、誘い込みのテーマやインフラストラクチャのパターンにおいて運用上の大きな差異を示しており、さまざまな偽のチャレンジで被害者を視覚的に騙す単純な検証を超え、オペレーティングシステムを通じて技術的な洗練度を示し、実行チェーンをカスタマイズするなど、 TTPsの進化を浮き彫りにしています。 こうした構造的な違いにもかかわらず、その運用方法はほぼ同じであり、ClickFixの中核となるTTPs （戦術、技術、手順）はプラットフォームを問わず機能し、被害者に合わせてソーシャルエンジニアリングの手法を調整するだけでよいことを示している。 脅威アクターWindowsの「ファイル名を指定して実行」ダイアログボックスやmacOSのターミナルなどのネイティブシステムツール内で、悪意のある難読化されたコマンドを直接実行するように被害者を操作します。

この「土地を食い尽くす」（LotL）手法により、悪意のあるスクリプトがメモリ内で実行できるようになり、従来のブラウザのセキュリティやエンドポイントの制御を効果的に回避できます。会計、不動産、法律サービスなど、多様な分野を標的とした並行するクラスターの存在は、ClickFixがサイバー犯罪者グループと高度な持続的脅威（APT）グループの両方にとって、標準化された高ROIのテンプレートへと移行したことを示している。

これらの脅威から保護するために、セキュリティ防御者は単純なインジケーターのブロックを超えて、優先順位を付けて積極的な行動強化を行う必要があります。 主な推奨事項には、グループ ポリシー オブジェクト (GPO) を介して Windows の [ファイル名を指定して実行] ダイアログ ボックスを無効にすること、PowerShell 制約付き言語モード (CLM) を実装すること、デジタル資産に対する脅威を特定して緩和するためにRecorded Futureの Malicious Websites などのデジタル リスク防止ツールを運用することなどが含まれます。

Insikt Groupは、2024年以降の利用増加に基づき、脅威アクターが被害者のソーシャルエンジニアリングを駆使して悪用を可能にするため、ClickFixの手法は2026年を通して主要な初期アクセス経路であり続ける可能性が非常に高いと評価している。Insikt Groupは今後、ClickFixの誘導手段は技術的にますます適応性を高め、より選択的なブラウザフィンガープリンティングを取り入れる一方で、迅速に構築・解体できるインフラストラクチャを引き続き利用していくと予測している。Insikt Group 、技術的な改良に加えて、ソーシャルエンジニアリングの要素も進化を続け、新たなTTPs戦術、技術、手順）を活用して被害者を悪意のあるコマンドの実行へと誘い込むと予測している。

主な調査結果

• Insikt Groupは、ClickFixの活動において、詐欺的な人間認証の誘い文句に共通して依存しているにもかかわらず、誘い文句のテーマやインフラパターンに大きな運用上の違いを示す5つの異なるクラスターを特定し、追跡した。これは、ClickFixの手法が、断片化された脅威アクターのエコシステム全体で採用される、標準化された高ROIのテンプレートへと移行したことを示している。
• 視覚的には多様であるものの、分析対象となったすべてのクラスターは、一貫した実行フレームワークを使用しており、攻撃のポイントをユーザーが操作する手動コマンドに移行させることで、従来のブラウザのセキュリティ制御を回避している。これらのキャンペーンは、会計（QuickBooks）、旅行（Booking.com）など、さまざまな分野を対象としています。およびシステム最適化（macOS）。
• ClickFixの技術的な実行は、標準化された4段階のパターンに従います。高度にエンコードまたは断片化された文字列の入力、正規のシステムシェルを介したネイティブ実行（LOLBins）、脅威アクターが制御するインフラストラクチャからのリモート侵入、そして即時のメモリ内実行です。この手法により脅威アクターホストシステム上で限定的かつ短命なフォレンジックアーティファクトを残しながら、リモートコードをステージングして実行できます。

背景

2023年後半に初めて記録されたClickFixは、ニッチなソーシャルエンジニアリングの戦術・技術TTPsから、グローバルなサイバー犯罪エコシステムの基盤へと移行した。 ClickFixは、偽のシステムエラーや人間による認証プロンプトに対する 必要な技術的 解決策を 装い 、被害者を誘い込んで悪意のあるコマンドを手動で実行させるソーシャルエンジニアリングの手法です。このTTPs 、FakeUpdates (SocGholish)モデルからの進化的な移行を表しており、最新の Web ブラウザーや自動エンドポイント検知システムのますます堅牢になっているセキュリティ機能を回避するために、手動によるユーザー介入を優先します。 この文脈において、この手法は「難しく考えるのではなく、賢く考える」というアプローチを体現している。手動のユーザーアクションに依存する単純さにより、 TTPs強力な防御回避手段となります。一般的なブラウザベースのセキュリティをバイパスすると検出が困難になりますが、多数の脅威アクターこれを使用するため、断片化された視界の状況全体を追跡することが困難になります。

この手法の技術的な核心は、主にペーストジャッキングに依存している。これは、不正なreCAPTCHAやCloudflare Turnstileのオーバーレイといった視覚的な誘惑に 気を取られて いる間に、バックグラウンドで動作するJavaScriptが被害者のクリップボードに難読化されたコマンド をコピーするというものだ 。場合によっては、悪意のあるコマンドは被害者のクリップボードに自動的に貼り付けられるのではなく、被害者がコマンドを手動でコピーして実行するように仕向けられる。自給自足（LotL）アプローチを活用することで、 アクターは、Windowsの「ファイル名を指定して実行」ダイアログボックス、PowerShell、macOSターミナルなどの信頼できるシステムツール内で、これらのコマンドを直接実行するようにユーザーを脅威アクターします。 このユーザー支援による実行により、悪意のあるスクリプトが密かに実行され、従来のブラウザやエンドポイントのセキュリティ境界を回避することが可能になります。

ClickFixは、大量の初期アクセスブローカー（IAB）から、BlueDelta（別名 APT28 ）や 北朝鮮の グループPurpleBravoのよう な高度な国家支援 グループまで、多様な脅威アクターによって悪用されてきた。この手法により、Lumma StealerやVidarのような情報窃盗マルウェア、あるいはNetSupport RATやOdyssey Stealerのようなリモートアクセス型トロイの木馬（RAT）など、多種多様な二次ペイロードを展開できる、再現性と拡張性に優れた配信フレームワークが実現します。これらの作戦は、個々のドメインが特定されブロックされた場合でも作戦の継続性を維持するように設計された、高度に適応性のある使い捨て可能なインフラストラクチャによって支えられていることが多い。

技術的分析

Insikt Groupは、埋め込み型Webアーティファクトの体系的な監視を可能にするRecorded Future HTMLコンテンツ分析データセットを活用することで、新たに出現した5つのClickFixクラスターを特定し、追跡しました。Insikt Group 、特定のDocument Object Model（DOM）ハッシュ、ハードコードされた画像情報ソースタグ、固有のページタイトルなどの独自の技術的識別子を軸として、ClickFixのインフラストラクチャをマッピングし、新たな悪意のあるドメインとインフラストラクチャを特定することで、アクティブなドメインの発見とクラスタの進化のほぼリアルタイムでの監視を容易にしました。

Insikt Groupは、分析対象となったクラスター全体にわたって、ClickFixの被害者がシステム上で実行するように仕向けられたコマンドを詳細に説明した。これらのコマンドは、作戦目標を達成するためにLOLBinsに大きく依存していた。LOLBins を使用することで、脅威アクターネイティブの正当に署名された実行可能ファイルを利用して、悪意のあるペイロードを被害者のマシンにダウンロードしました。 個人用マシンや企業エンドポイントのセキュリティ実装によっては、この手法は標準的なセキュリティ原則や基本的なセキュリティ原則を効果的に回避できる可能性があります。

ClickFixクラスター

Insikt Group 、ClickFixのソーシャルエンジニアリングのTTPsへの共通の依存にもかかわらず、運用上の大きな差異を示した5つのクラスターを特定しました（図1参照）。 これらのクラスターは、物流をテーマにした誘い文句からデュアルプラットフォーム選択ロジックまで、インフラストラクチャのパターンとターゲティング手法によって定義されていた。これは、ClickFix の手法が断片化された脅威アクターはそれぞれ、独自の配信要件と被害者プロファイルに合わせてTTPs調整しています。

これらのクラスターは、インフラストラクチャの再利用、誘引手法のフォーマット、プラットフォームのターゲティング、および時間の経過に伴う運用上の調整における観察可能なパターンに基づいてグループ化されました。中核となる技術要素や提供メカニズムは重複しているものの、それぞれのクラスターはより広い視野の中で独自の存在感を維持している。Insikt Groupは、活動を以下の5つのカテゴリーに分類した。

• Intuit QuickBooks：会計ソフトウェアを標的としたなりすまし攻撃。セキュリティフィルターを回避するために、古いドメインが悪用されることが多い。
• Booking.com：不正なドメインを使用して偽の認証ポータルを表示
• Birdeye： AIマーケティング会社Birdeyeのユーザーを、ドメインを偽装し、悪意のあるコマンドを使用させることでNetSupport RATを配信する大規模なクラスター。
• デュアルプラットフォーム選択：オペレーティングシステムを使用 プラットフォームに合わせた誘い文句とマルウェアを配信
• macOSストレージクリーニング： macOSシステム最適化を模倣した偽のプロンプトを使用して、ユーザーを騙して暗号化されたターミナルコマンドを実行させる

クラスター1：Intuit QuickBooks

クラスター1は、2026年1月から本稿執筆時点まで活動していることが確認されており、主に会計ソフトウェアIntuit QuickBooksを装ったソーシャルエンジニアリングの手法を用いて組織を標的にしている。QuickBooks は、米国で納税準備に広く使用されています。キャンペーンの有効期間が米国の税務シーズン（通常は1月から4月15日）と一致していることを考慮すると、 Insikt Group 、このタイミングが財務レポートに携わるエンティティをターゲットとする計算された取り組みであったとある程度の自信を持って評価している。 このマルウェア群は最近、米国の不動産マーケットプレイスであるZillowのユーザーを標的にするように方向転換したが、QuickBooks関連の要素やブランド固有の画像は、悪意のあるランディングページのドキュメントオブジェクトモデル（DOM）全体に深く埋め込まれたままである。

クラスター1のプロファイル

クラスター1感染連鎖

感染経路は、被害者がClickFixのランディングページにアクセスした時点から始まります。このページには、被害者に特定の「認証」手順を完了するように指示する、不正な人間認証インターフェースが表示されます（図3参照）。

被害者はページを操作することで、知らず知らずのうちに悪意のあるコマンドをシステムクリップボードにコピーしてしまう。これらのTTPs 、技術、手順）は、Windowsの「ファイル名を指定して実行」ダイアログやPowerShellなどのネイティブシステムユーティリティを介して実行されることが多く、LOLBinsを利用して従来のブラウザやエンドポイントベースのセキュリティ制御を回避します。

コマンドを貼り付けると、難読化されたPowerShellスクリプト（図4）が非表示のウィンドウで実行されます。このステージャーは、自己参照関数名を使用して、ドメイン nobovcs[.]com に対してInvoke-RestMethodを動的に構築および呼び出します。

This request triggers the retrieval of a short PowerShell stager (see Figure 5) that downloads a second-stage payload, bibi.php, saving it to the %TEMP% directory as script.ps1. This stager is the initial execution step that kicks off the NetSupport RAT installation.

The bibi.php script is essential for the final deployment phase and for obfuscating on-disk artifacts. It contains a function called Get-RomanticName, which selects and combines strings from a thematic wordlist, including terms such as "Heart", "Soul", and "Desire", to generate a randomized folder name under %LOCALAPPDATA%, where the staging files are placed.

このスクリプトは、nobovcs[.]com から 4 つの主要ファイルを取得します。表2に詳細を示します。

表2: nobovcs[.]comからダウンロードしたファイルのファイル名とSHA256ハッシュ(情報源: Recorded Future )

このスクリプトは、 7z.exeを使用してat.7z (パスワード「pppp」で保護されています) を抽出します。このファイルには NetSupport RAT バイナリ、 neservice.exeが含まれています。永続性はスタートアップショートカットを乗っ取ることで確立されます。既存のショートカットが検出されない場合、スクリプトはlnk.7zをスタートアップフォルダに展開し、システム再起動時にペイロードが自動的に起動するようにします。

正常に実行されると、バイナリneservice.exeはgologpoint[.]comに対して HTTP GET リクエストを実行し、コマンド アンド コントロール (C2) 通信を開始します。gologpoint[.]comIPアドレス62[.]164[.]177[.]230に解決されます。

クラスター2：Booking.com

クラスター2は、2026年2月から本稿執筆時点まで、旅行代理店Booking.comになりすまして活動していることが確認された。Insikt Group脅威アクターが一意の HTML タイトルと一貫した画像ファイルを繰り返し使用することで可能になった一意の DOM ハッシュに基づいてクラスターを追跡しました。 このクラスターでタグ付けされた情報漏洩 / 侵入 (IoC) の指標は、 Recorded Future HTML コンテンツ分析で確認できます。 このクラスターのランディングページでは、偽のreCAPTCHA v2チャレンジが使用されており、被害者は「バケツ」を含むすべての写真を選択する必要がある（図6 ）。Insikt Groupは、分析対象としたすべてのページにおいて、同じチャレンジ写真が同じ順序で表示されていることを確認した。

クラスター2のプロファイル

クラスター2感染連鎖

このプロセスは、被害者が偽のチャレンジに反応した時点から始まる。チャレンジを完了すると、被害者は検証ページにリダイレクトされ、そこで悪意のあるPowerShellコマンド（図8参照）がシステムクリップボードにコピーされます。検証ページに記載されている手順は、被害者を操作してWindowsの「ファイル名を指定して実行」ダイアログボックスを開かせ、コマンドを入力させるように仕向ける。この悪意のあるコマンドを実行すると、NetSupport RATの感染チェーンが開始されます。

script.ps1で提供されている PowerShell コマンド (図 9を参照) は、標準のログ記録とセキュリティ制限を回避するために、 -NoProfileおよび-ExecutionPolicy Bypassフラグを使用して実行されます。実行後、システムは4つのステージングファイルをDesireSpark Serenadeという名前のディレクトリにプルします。このディレクトリ命名規則は、クラスター1で観察された「ロマンティック」な命名方法と機能的に同一である。

主要なステージングメカニズムは、 script.ps1を使用してステージングサーバーから二次ペイロードを取得します。分析されたある事例では、 thestayreserve[.] com から発信されたスクリプトが表4に詳述されているファイルを取得するために、checkpulses[.] comに連絡しました。

表4: checkpulses[.]comからダウンロードしたファイルのファイル名とSHA256ハッシュ(情報源: Recorded Future )

7z.exeユーティリティは、NetSupport RATバイナリneservice.exeを含むat.7zを抽出するために使用されます。永続性は、システムのスタートアップフォルダにリンクを追加することで確立されます。

このクラスター全体で観測されたドメインは、類似したPowerShellコマンドパターンを使用している。しかし、コマンドが実行されると、呼び出されるステージングインフラストラクチャによって感染経路が若干異なります。sign-in-op-token[.]comとthestayreserve[.]comの場合ドメインは異なるが、悪意のあるコマンドはパターンと構成において同一である。ただし、ハードコードされたドロッパーのドメインはbkng-updt[.]comである。およびcheckpulses[.]com 、それぞれ。

ステージングドメインは異なるものの、このクラスタ全体の最終ペイロードは同じNetSupport RAT C2インフラストラクチャに収束する（表5 ）。

テーブル5: Booking.com 感染チェーンで観察された IoC (情報源: Recorded Future )

インストール後、 thestayreserve[.]comからのマルウェアがchrm-srv[.]com との通信を開始する（ 図10 ）。およびms-scedg[.]com 、どちらも152[.]89[.]244[.]70に解決されます。ドメインhotelupdatesys[.]com、 sign-in-op-token[.]com のNetSupport RAT C2 と同じ IP アドレスに解決されます。

クラスター3：バードアイ

クラスター3は、2024年5月から本稿執筆時点まで稼働していることが確認された。以前Insikt Groupが報じたように、このクラスターは「bird」というキーワードを含むドメインを中心としたインフラストラクチャを利用してClickFixの誘引ページを配信しており、Recorded FutureのHTMLコンテンツ分析で追跡可能です。これらの詐欺行為は、AIマーケティング会社であるBirdeyeを装い、被害者を操って悪意のあるコマンドを実行させることを目的としています。

クラスター3のプロファイル

クラスター3感染連鎖

感染連鎖は、被害者が情報漏洩/侵入サイトにアクセスし、Cloudflare スタイルの CAPTCHA チャレンジを提示されたときに始まります。 被害者はページを操作すると、Windowsの「ファイル名を指定して実行」ダイアログボックスでコマンドを実行するように促される。Insikt Groupは、HTMLアーティファクト内の固有の技術的識別子（一貫性のある固有のページタイトルや、インフラストラクチャ全体で使用されている静的画像など）に着目することで、このクラスターを特定しました。

被害者が操作されて実行するコマンドは、被害者のデバイスがalababababa[.]cloudにアクセスして、 hxxps[://]alababababa[.]cloud/cVGvQio6[.]txt からペイロードをダウンロードするようにします。疑いをさらに減らすため、悪意のあるコマンドが実行されると、被害者は正規のbirdeye.comウェブサイトにリダイレクトされます（図12を参照） 。

付録Fに記載されている、このクラスターのDOM内のJavaScriptの分析により、脅威アクターの手法に関する知見が明らかになった。スクリプトの注目すべき部分は、難読化された7行のコードで構成されており、それらが連結されて1つの文字列となり、被害者のクリップボードに添付される。開発者はコード内に、各行の難読化解除された目的を詳細に説明するコメントを残している。例えば、あるコメントでは、特定のフラグを使用してPowerShellを呼び出すコマンドの部分が明示的に示されています（図13 ）。

さらに、スクリプトの冒頭にキリル文字で書かれたコメントは、「これはCloudflareの静的解析を回避するのに役立つはずだ」という意味です。この内部文書は脅威アクターセキュリティスキャナーに対する回避TTPs洗練させるために、意図的に行動を詳細に記述していることを示唆しています。

歴史的には、 alababababa[.]cloudLumma StealerやRedLine Stealerなど、複数のマルウェアの配信に関与していることが知られています。このクラスターで特定されたドメインの数は膨大で、40を超える固有のエントリが存在することから、この活動を維持するために用いられている「実行と反復」モデルの規模の大きさが浮き彫りになる。

クラスター4：デュアルプラットフォームの選択

クラスター4は、2025年3月から本稿執筆時点まで稼働していることが確認された。このクラスターは、オペレーティングシステムの を利用して、Windows ユーザーと macOS ユーザーの両方に合わせた ClickFix の誘い文句を提供するという点でユニークです。 通常のClickFixの動作ではコマンドが自動的にクリップボードにコピーされるのに対し、この亜種では詳細な手動手順が提供され、被害者はネイティブシステムツールを開いて、提供されたステージングペイロードを手動でコピー＆ペーストする必要がある。この動作を分析するために使用された ClickFix ページの一つはmacosapp-apple[.]comでした。IPアドレス45[.]144[.]233[.]192でホストされています。

クラスター4のプロファイル

クラスター4感染連鎖

感染の連鎖は、被害者が人間であることを確認するよう指示するClickFixのページにアクセスしたときに始まります（図15 ）。

ターミナルが開くと、被害者は「一時的なシステムファイルを見つけて削除する」と称する複数段階のコマンドを実行するように促される。

実際には、これらのコマンド（表9を参照）は、その真の意図を隠すために異なるエンコードレイヤーを使用しています。最初の例では、16進数文字列をデコードしてBase64エンコードされたクライアントURL（curl）命令を明らかにし、2番目の例ではBase64文字列を直接デコードして実行可能コマンドを実行します。どちらの方法も、悪意のあるペイロードが実行されるまで難読化することで、単純なパターンマッチングを最終的に回避する。

表10に示すように、明らかになったcurl命令は、このクラスターでは-kfsSL複合引数セットを使用して、サイレント配信を容易にしています。これらのフラグにより、トランスポート層セキュリティ（TLS）証明書のチェックがバイパスされ、サーバー側のエラーが抑制され、リダイレクトを経て最終的なペイロードドメインに到達するまでの間、プロセスがユーザーの視界から隠されたままになります。

過去の証拠（ 1、2 ）と法医学的パターンに基づき、Insikt Groupは、情報窃盗マルウェアMacSyncがこのクラスターの被害者を感染させるために使用された主要なペイロードであったと高い確信度で評価しています。これらのページ上の悪意のあるコマンドにより、感染したシステムは表11に詳述されている特定のステージングおよびC2インフラストラクチャにアクセスするようになりました。特筆すべきは、ドメインは様々であったものの、ネットワークレベルでのブロックを困難にするため、Cloudflareの背後で頻繁に確認された点である。

表 11 : macOS クリーナー キャンペーン用に特定された C2 サーバー (情報源: Recorded Future )

コピーコマンド分析

Insikt Groupは、本調査で特定された5つのクラスター全体にわたるコマンドを分析した。クラスター1（Intuit QuickBooks）やクラスター5（macOSストレージクリーニング）など、グループによって視覚的な誘惑やなりすましブランドは異なるものの、根底にある実行ロジックは一貫している。この「実行と繰り返し」の手法は、信頼できる限られた数のLOLBinsと軽量な難読化技術に依存しており、フォレンジック痕跡を最小限に抑えながらリモートコードをステージングします。

ClickFixの技術的な実装は、表12にまとめられているように、すべての対象オペレーティングシステムで標準化された4段階のパターンに従います。

表 12 : 標準化された 4 段階の ClickFix 実行パターン (情報源: Recorded Future )

Insikt Groupは、macOS中心のキャンペーンで使用される2つの主要なコマンドスタイル（クラスター4とクラスター5など）を特定しました。これらは表13に詳細に示されています。

表 13 : macOS および Linux の観測された 、 TTPs 、 TTPs ( TTPs ) (zsh そして バッシュ) コマンド (情報源: Recorded Future )

Windows ベースのコマンド、特にクラスター 1 とクラスター 2 で観察されたものは、表 14に示すように、「コマンド スウィズリング」とケース ランダム化によって高度な洗練度を示しています。

表 14 : Windows (PowerShell) コマンドで観察されたTTPs (情報源: Recorded Future )

軽減策

ClickFix のソーシャル エンジニアリングや関連する Living-Off-the-Land (LotL) TTPsによってもたらされる脅威を解消するために、 Insikt Group 、高度なインテリジェンス監視とネイティブ システム ユーティリティの積極的な強化を組み合わせた多層防御アプローチを推奨しています。

• HTMLコンテンツ分析の運用化： Recorded Future顧客は、HTMLコンテンツ分析情報源を使用して、ClickFixの提供に活用される自社ブランドのなりすましを監視する必要があります。 Recorded Future Intelligence Operations Platformを活用して、特定のドキュメントオブジェクトモデル（DOM）ハッシュやページタイトルなどの固有のWebアーティファクトを監視し、ClickFixの新しいドメインをリアルタイムで特定します。
• Recorded Future脅威インテリジェンスの使用: Recorded Future顧客は、 Recorded Future Intelligence Operations Platform データを運用することによって、特に継続的に更新されるリスク リストを活用し、ClickFix に関連付けられた IP アドレスとドメインをブロックリストに登録して悪意のあるインフラストラクチャとの通信をブロックすることによって、この脅威を積極的に緩和できます。
• 悪意のあるインフラストラクチャのリスクリストを監視します。 Recorded Futureリスクリストを使用して、セキュリティ情報およびイベント管理 (SIEM) およびエンドポイント および (EDR) ツールを継続的に更新し、特定されたステージングドメインおよびコマンド アンド コントロール (C2) ドメインへのトラフィックをブロックします。
• マルウェアインテリジェンスを活用する： Recorded Future Intelligence Operations Platformを活用して、NetSupport RAT、Odyssey Stealer、Lumma Stealerなど、本レポートで特定されたペイロードに関連する情報漏洩の指標（IoC）を探索します。
• Network Intelligenceを活用する： Recorded Future Network Intelligenceを使用して、データ漏洩イベント（NetSupport RATに関連するものなど）を早期に検知することで、侵入がエスカレートする前に防止することができます。 このアプローチはInsikt Groupが提供する包括的で積極的なインフラストラクチャ検出と、膨大な量のネットワーク トラフィックの分析に依存しています。
• ID モジュールの使用: Recorded Futureお客様は、情報窃取者によって盗まれたダークウェブ上で販売されている認証情報とパスワードを監視するために、ID モジュールを活用する必要があります。
• グループポリシーオブジェクト（GPO）を使用してWindowsの「ファイル名を指定して実行」ダイアログを無効にする：企業環境では、グループポリシーオブジェクト（GPO）を使用して、 Win+Rキーボードショートカットとスタートメニューの「ファイル名を指定して実行」コマンドを無効にします。これはClickFixの実行チェーンを著しく阻害する。なぜなら、被害者は通常、悪意のあるコマンドをこのダイアログボックスに直接貼り付けるように指示されるからである。
• ターミナルと PowerShell の実行を制限する: PowerShell 制約付き言語モード (CLM) を実装し、AppLocker または Windows Defender アプリケーション制御 (WDAC) を使用して、割り当てられていないスクリプトの実行や、ローカルバイナリ (LOLBins) の悪用を防止します。macOS では、モバイル デバイス管理 (MDM) を介して適用されるアプリケーション制御ポリシーを使用して、ターミナルやその他のシェル インタープリタ ( zshやbashなど) を制限し、システム整合性保護 (SIP) およびエンドポイント セキュリティ制御を活用して、不正なスクリプト実行やネイティブ コマンドライン ユーティリティの悪用を制限します。
• ユーザーへの意識向上とトレーニング：システムユーティリティにコマンドをコピー＆ペーストすることを要求する「手動検証」プロンプトの危険性についてユーザーを具体的に教育する、対象を絞ったソーシャルエンジニアリングシミュレーションを実施する。

今後の展望

会計、旅行、不動産、法律サービスなど、多様な分野を標的とする5つの並行した活動クラスターが特定されたことは、ClickFixの手法がニッチなTTPs戦術・技術・手順）から、サイバー犯罪エコシステム内で標準化されたテンプレートへと移行したことを示している。 この標準化された「実行と反復」モデルは、下位レベルの「密売人」と高度な持続的脅威（APT）グループの両方による幅広い採用を促進している。脅威アクターのインフラストラクチャと共有技術テンプレートが利用できるため、個々のドメインがブロックされた場合でも、運用継続性を維持できます。

Insikt Groupは、ClickFixの手法が2026年を通して引き続き広く利用される初期アクセス手段となる可能性が非常に高いと、高い確信を持って評価しています。ClickFixの継続的な成功は、攻撃の起点をユーザーが手動で操作する箇所に移すことで、高度なブラウザベースのセキュリティ制御を回避できる能力に支えられている。PowerShellやターミナルなどのネイティブシステムユーティリティがエンドユーザーに利用可能である限り、ClickFixは引き続き 従来の攻撃キットに脅威アクター、高収益かつ低複雑性の代替手段を提供します。

今後、ClickFixのルアーはますます技術的に適応していく可能性が高いでしょう。今後のバージョンでは、より詳細なブラウザフィンガープリンティングを組み込み、被害者のハードウェア、地理的位置、または組織プロファイルに基づいてペイロードを条件付きで配信することが期待される。さらに、脅威アクターすでにコード内で静的分析エンジンのバイパスTTPs意図的に文書化しているため、 Insikt Group 、よりレジリエントで難読化されたステージング環境への長期的な傾向が予想されます。 高度なソーシャルエンジニアリングとLotLのTTPs戦術、技術、手順）が融合することで、防御戦略の転換が必要となり、単純な指標のブロックから、ClickFixが依存するシステムユーティリティの積極的な行動強化へと移行する必要がある。

付録A：侵害を示す指標

付録B：クラスター1 — Intuit QuickBooks指標

Appendix C: bibi.php Script

付録D：クラスター2 — Booking.comの指標

付録E：クラスター3 — バードアイ指標

付録F：バードアイクラスターJavascript

付録G：クラスター4 ― デュアルプラットフォーム選択指標

付録H：クラスター5 — macOSストレージクリーニングの指標

付録I：MITRE ATT&CKのTTPs