令和7年度中小企業サイバーセキュリティ
社内体制整備事業 フォローアップ

サイトマップ
文字サイズ

2025.10.31

「クリックフィックス」

サイバーセキュリティの基本を理解するためには、いくつか重要なセキュリティ用語を知っておくことが必要です。これらの言葉や概念を正確に理解することで、企業が直面するリスクを最小限に抑え、適切な対策を講じることができます。

本記事では、中小企業が特に知っておくべきセキュリティ用語について解説しています。

今回のテーマは、「クリックフィックス」です。

●クリックフィックスとは

ウェブサイトを閲覧する際、次の画面に進むための操作に見せかけ、マルウェアに感染させるソーシャルエンジニアリングのひとつの手口です。

ソーシャルエンジニアリングとは「人間の心理的な隙や信頼を悪用して、情報や行動を引き出す手口」です。著名なものとしてはフィッシングメールがあります。

●クリックフィックスの手口

以下のような画面を見たことがないでしょうか。


この画面はウェブサイトを閲覧している際、次の画面に進むために表示される認証画面です。

正規の認証画面は、人間と自動化(ボット)を区別して悪意ある自動処理を防ぐ目的で利用されています。例えば問い合わせや投票といった入力操作を自動的に大量に行われることを防ぎます。

しかし、あたかも正規の認証画面のように偽り、利用者をマルウェアに感染させようとする偽の認証画面の存在が確認されています。

偽の認証画面をチェックしてしまうと、次のような画面が表示されます。


上記の通りに操作をすると、パソコンがマルウェアに感染してしまいます。

手順1は、Windowsにおいて「ファイル名を指定して実行」のダイアログが開く操作です。
手順2は、クリップボードの内容(※)が「ファイル名を指定して実行」ダイアログに貼り付けされます。
手順3は、貼り付けされたものが実行されます。

「※」の部分が重要です。実は上記画面を表示した際に、クリップボード(テキストを選択し右クリックしてメニューからコピーを選択した際等に、一時的に選択した内容を保存する機能)にスクリプトが格納されています。このスクリプトは、マルウェアをダウンロードしたり実行したりするためのコンピュータを動作させる命令文です。

一連の操作は、パソコンの操作者本人が行うものであるため、セキュリティ対策ソフト等の機能を回避する可能性があります。

利用者が「疑問はない」、「次の画面が表示される時間を優先し疑うことをやめる」、「大手企業のロゴなので信頼できる」と考えることにより、画面に表示された通りの操作をしてしまう。そうした人間の心理的な隙や信頼を利用した手口です。

●クリックフィックスへの対処方法

従業員向けにクリックフィックスについての教育をしましょう。

クリックフィックスは、ウェブサイト閲覧時に正規に行われていることを巧妙に真似ているため、今後も様々なパターンが登場する可能性があります。しかし、主な手口や偽画面を知る事や、キー入力を指示された際に疑う事、疑った際は報告・確認する事を学ぶ事は有効です。

例えば、クリックフィックスの最新の手口をインターネット検索で調べて紹介し、特定のキーを入力するような画面が表示されたら情報システム担当者へ報告し確認するよう周知するとよいでしょう。

技術的対策としては、EDRのようなパソコンの意図しない処理を検知する事が有効です。
EDRについては過去の記事を参照してください。
https://cybersecurity-taisaku.metro.tokyo.lg.jp/glossary/yougokaisetu2/

なお、東京都中小企業サイバーセキュリティ基本対策事業ではEDRのお試し導入を行っております。今年度は定員に達しましたが、来年度事業が行われる可能性があります。事業開始は東京都産業労働局の公式X中小企業向けサイバーセキュリティ対策の極意のページに掲載されますのでフォローやブックマークへの登録をお願いいたします。

●まとめ

クリックフィックスは、ウェブサイトを閲覧する従業員に対し、人間の心理的な隙や信頼を悪用してパソコンをマルウェアに感染させるなどの被害を与える手口です。

マルウェアに感染させる手口はメールによる感染が認知されていますが、今回のようなウェブサイトによる感染もあります。
クリックフィックスは巧妙で、ウェブサイト上の様々なものをコピーして偽画面を作れてしまいます、今回例示した認証画面だけでなく、「9つの画像から橋の画像を選ぶ」「リモート会議ツールの不具合解消を騙るポップアップ」なども確認されています。

最新の情報を収集しつつ、従業員教育や技術的対策の導入を進める事が重要です。


参考

トレンドマイクロ「ClickFix(クリックフィックス)とは?多様な攻撃に悪用されるソーシャルエンジニアリングの手口」
https://www.trendmicro.com/ja_jp/jp-security/25/i/securitytrend-20250905-01.html

※当記事内の画像(クリックフィックス手口で利用される偽画面)は、上記サイトを参考に簡略化したイメージを作成し掲載しています。

記事一覧に戻る

おすすめ記事

2024.08.23

3分でわかる!用語解説
「情報セキュリティ3要素(機密性、完全性、可用性)」 「情報セキュリティ3要素(機密性、完全性、可用性)」
サイバーセキュリティの基本を理解するためには、いくつか重要なセキュリティ用語を知っておくことが必要です。これらの言葉や概念を正確に理解することで、企業が直面するリスクを最小限に抑え、適切な対策を講じることができます。本記…
初級編 用語編

2024.09.16

ホットトピックス
Web入力画面(申し込みフォーム)などの設定ミスによる情報漏えい Web入力画面(申し込みフォーム)などの設定ミスによる情報漏えい
今回は、Webアンケートやイベントなどの申し込みフォーム、会員登録画面などの危険性について説明します。 皆さんはセミナーへの参加申し込みや会員登録を行う際に、Webページの案内に従って、フォームに個人情報を入力したことは…
初級編 知識編

2024.08.20

ビジネスヒント
DXでここまで変わる! ~売り上げアップと深い関係の「データドリブン」とは~ DXでここまで変わる! ~売り上げアップと深い関係の「データドリブン」とは~
メーカー、小売、飲食、と幅広い分野でDXを導入する動きがあります。 「DX」というと難しいと考えてしまうかもしれませんが、まず一部にデジタルを取り入れる、それだけで様々な角度からのアプローチで売り上げをアップさせる企業も…
実用編 経営課題

2025.10.17

基礎から学ぶ! セキュリティ
【令和7年度版】中小企業におけるセキュリティ脅威への対策強化 ~サプライチェーンの弱点を悪用した攻撃から対策を学ぶ~ 【令和7年度版】中小企業におけるセキュリティ脅威への対策強化 ~サプライチェーンの弱点を悪用した攻撃から対策を学ぶ~
独立行政法人 情報処理推進機構(IPA)が毎年発行している「情報セキュリティ10大脅威2025」から、中小企業の経営者やシステム担当者が注目すべき点を掘り下げていきます。 今回は2位に挙げられている「サプライチェーンの弱…
実用編 知識編

2024.09.02

ホットトピックス
サポート詐欺の脅威 サポート詐欺の脅威
皆さんは、パソコンで作業中に以下のようなウイルス感染やパソコンの不具合を知らせる画面が表示されたらどのようにしますか?  出典:警察庁サポート詐欺対策 https://www.npa.go.jp/bureau/cyber…
初級編 啓発事業 知識編

2025.02.06

参加者の声
アンケート・ヒアリング調査の結果 アンケート・ヒアリング調査の結果
当事業ではセキュリティ対策点検と、セキュリティ情報発信・提供の2つの支援を実施いたしました。令和6年度に当事業へ参加くださった企業様へのアンケート・ヒアリング結果を基に当事業をご紹介いたしますので、ぜひご覧くださいませ。…
実用編

タグから探す

初級編 啓発事業 基本対策事業 実用編 特別支援事業 用語編 知識編 社内体制整備事業 経営課題 動画 インシデント対応強化 セキュリティ対策点検 中小企業サイバーセキュリティ対策事業の知見 実践力強化プログラム 技術的セキュリティ対策

サイト内検索

カテゴリーから探す

新着
(すべてのコンテンツ)
記事
トークショー・
セミナー

記事ランキング

勤務時間外の業務連絡を遮断! ~社員のストレス軽減のために「つながらない権利」について考えてみよう~ 勤務時間外の業務連絡を遮断! ~社員のストレス軽減のために「つながらない権利」について考えてみよう~ 「情報セキュリティ3要素(機密性、完全性、可用性)」 「情報セキュリティ3要素(機密性、完全性、可用性)」 もうすぐWindows 10のサポートが終了 知っておかなければならないセキュリティへの影響とは? もうすぐWindows 10のサポートが終了 知っておかなければならないセキュリティへの影響とは? 【令和7年度版】中小企業におけるセキュリティ脅威への対策強化 ~不注意による情報漏えいの被害事例から対策を学ぶ~ 【令和7年度版】中小企業におけるセキュリティ脅威への対策強化 ~不注意による情報漏えいの被害事例から対策を学ぶ~ 「多要素認証」と「パスキー」 「多要素認証」と「パスキー」
メルマガ
登録申込はこちら
ページトップへ戻る