「私はロボットではありません」——その CAPTCHA、押した瞬間に感染が始まる。 2026年に入り、偽の CAPTCHA 画面を使ってユーザーに悪意のある PowerShell コマンドを実行させる「ClickFix」攻撃が急増している。最終段階で投下されるのは、カスタムビルドの遠隔操作マルウェア「MimicRAT」だ。
IPA「情報セキュリティ10大脅威 2026」では標的型攻撃が引き続き上位にランクインしており、ClickFix のような"ユーザー参加型"の感染手法は従来のメールフィルタでは防げない。本記事では、5段階の感染チェーンを1ステップずつ分解し、中小企業のIT担当者が今日から実行できる防御策を解説する。
ClickFix攻撃とは何か
ClickFix は、正規サイトの改ざんや不正広告を経由して偽の CAPTCHA 画面をブラウザ上に表示し、ユーザー自身にマルウェアの実行コマンドをコピー&ペーストさせるソーシャルエンジニアリング攻撃だ。
従来のドライブバイダウンロード攻撃との最大の違いは、ブラウザの脆弱性を突かないことにある。ユーザーの「操作」を起点とするため、最新のブラウザやEDRをすり抜ける確率が高い。
なぜ中小企業が狙われるのか
- セキュリティ教育が行き届いていないケースが多い
- 「CAPTCHA=安全」という認識が社員に浸透している
- PowerShell の実行ポリシーがデフォルトのまま運用されている
MimicRATの特徴
MimicRAT は、ClickFix 経由で配布されるカスタムビルドの Remote Access Trojan(RAT)だ。既存のオープンソース RAT をベースに改造されており、以下の特徴を持つ。
| 項目 | 詳細 |
|---|---|
| 通信方式 | HTTPS over WebSocket(C2通信をTLS暗号化) |
| 検知回避 | 正規プロセス(svchost.exe)へのインジェクション |
| 永続化 | レジストリ Run キー+タスクスケジューラの二重登録 |
| データ窃取 | キーロガー、スクリーンキャプチャ、ブラウザ保存パスワードの抽出 |
| 横展開 | SMB を利用した LAN 内拡散機能 |
5段階感染チェーンの全体像
ステージ1:初期誘導(偽CAPTCHAの表示)
攻撃者は正規サイトの広告枠やSEOポイズニングを利用し、ユーザーを攻撃者が管理するランディングページに誘導する。ページには「CAPTCHA 認証が必要です」と表示される。見た目は Google reCAPTCHA に酷似しており、一般ユーザーが偽物と見抜くのは極めて困難だ。
ステージ2:クリップボードハイジャック
「私はロボットではありません」ボタンをクリックすると、裏でJavaScript が悪意ある PowerShell コマンドをクリップボードにコピーする。画面には「認証を完了するには、Win+R を押してCtrl+Vで貼り付け、Enterを押してください」という指示が表示される。
ステージ3:PowerShellローダーの実行
ユーザーが指示に従うと、PowerShell が起動し、外部サーバーから次のステージのペイロードをダウンロードする。このローダーは Base64 エンコードされており、コマンドラインログだけでは内容を即座に把握できない。
ステージ4:環境チェックとペイロード投下
ローダーは実行環境がサンドボックスや仮想マシンでないことを確認した後、MimicRAT 本体をダウンロードし、正規プロセスにインジェクションする。サンドボックスを検知した場合は自身を削除して痕跡を消す。
ステージ5:C2通信の確立と横展開
MimicRAT は C2(Command & Control)サーバーとの暗号化通信を確立し、攻撃者からの指令を待機する。初期偵察としてホスト名、ドメイン情報、インストール済みソフトウェア一覧を送信し、横展開の可能性を探る。
企業が今日から実行すべき防御策
対策1:PowerShell実行ポリシーの制限
グループポリシー(GPO)で PowerShell の実行ポリシーを「AllSigned」に設定し、署名のないスクリプトの実行を禁止する。Windows の「Constrained Language Mode」も併用すると効果的だ。
対策2:EDRの振る舞い検知ルールの確認
ファイルハッシュによる検知だけでなく、「PowerShell から外部URLへの接続」「svchost.exe の異常な子プロセス生成」などの振る舞いルールが有効になっているか確認する。
対策3:社員向けセキュリティ教育の更新
「CAPTCHAに見えるものが全て安全ではない」「Win+R で何かを貼り付けるよう指示する画面は100%攻撃」——この2点を全社員に周知する。年次の座学だけでなく、フィッシング訓練に ClickFix パターンを追加するのが望ましい。
対策4:DNSフィルタリングの導入
攻撃に使われるC2ドメインをブロックするため、DNSフィルタリングサービス(Cisco Umbrella、Cloudflare Gateway など)を導入する。中小企業向けには無料枠のある Cloudflare Gateway が導入しやすい。
対策5:ネットワークセグメンテーション
MimicRAT の横展開機能に備え、業務用端末のセグメントとサーバーセグメントを分離する。最低限、SMB(ポート445)の不要な通信をファイアウォールで遮断する。
感染が疑われる場合の初動対応
- 端末をネットワークから隔離する(LANケーブルを抜く、Wi-Fiを無効化)
- タスクスケジューラとレジストリ Run キーを確認し、不審なエントリを記録する
- PowerShell のイベントログ(Event ID 4104: Script Block Logging)を保全する
- EDR/アンチウイルスのフルスキャンを実行する
- 社内CSIRTまたは外部インシデント対応サービスに報告する
まとめ
ClickFix攻撃は、技術的な脆弱性ではなく「人間の習慣」を突く攻撃だ。CAPTCHA という信頼されたUIを模倣することで、セキュリティ意識の高いユーザーさえ騙される可能性がある。MimicRATが一度侵入すると、パスワード窃取から横展開まで短時間で進行するため、予防と早期検知の両輪が不可欠だ。
PowerShell制限、EDR振る舞い検知、社員教育の3点を優先的に実行し、感染チェーンのどこかで攻撃を断ち切る体制を構築してほしい。
GXO実務追記: AI開発・生成AI導入で発注前に確認すべきこと
この記事のテーマは、単なるトレンド紹介ではなく、業務選定、データ整備、セキュリティ、PoCから本番化までの条件を決めるための検討材料です。検索で情報収集している段階でも、発注前に次の観点を整理しておくと、見積もりのブレ、手戻り、ベンダー依存を減らせます。
まず決めるべき3つの論点
| 論点 | 確認する内容 | 未整理のまま進めた場合のリスク |
|---|---|---|
| 目的 | 売上拡大、工数削減、リスク低減、顧客体験改善のどれを優先するか | 成果指標が曖昧になり、PoCや開発が終わっても投資判断できない |
| 範囲 | 対象部署、対象業務、対象データ、対象システムをどこまで含めるか | 見積もりが膨らむ、または重要な連携が後から漏れる |
| 体制 | 自社責任者、現場担当、ベンダー、保守運用者をどう置くか | 要件確認が遅れ、納期遅延や品質低下につながる |
費用・期間・体制の目安
| フェーズ | 期間目安 | 主な成果物 | GXOが見るポイント |
|---|---|---|---|
| 事前診断 | 1〜2週間 | 課題整理、現行確認、投資判断メモ | 目的と範囲が商談前に整理されているか |
| 要件定義 / 設計 | 3〜6週間 | 要件一覧、RFP、概算見積、ロードマップ | 見積比較できる粒度になっているか |
| PoC / MVP | 1〜3ヶ月 | 検証環境、効果測定、リスク評価 | 本番化判断に必要な数値が取れるか |
| 本番導入 | 3〜6ヶ月 | 本番環境、運用設計、教育、改善計画 | 導入後の運用責任と改善サイクルがあるか |
発注前チェックリスト
- [ ] AIで置き換える業務ではなく、成果が測れる業務を選んだか
- [ ] 参照データの所有者、更新頻度、権限、機密区分を整理したか
- [ ] PoC成功条件を精度、時間削減、CV改善、問い合わせ削減などで数値化したか
- [ ] プロンプトインジェクション、個人情報、ログ保存、モデル選定のルールを決めたか
- [ ] RAG/エージェントの回答を人が監査する運用を設計したか
- [ ] 本番化後の費用上限、API使用量、障害時フォールバックを決めたか
参考にすべき一次情報・公的情報
- 経済産業省 AI事業者ガイドライン関連情報
- デジタル庁 AI関連情報
- OpenAI Platform Documentation
- Anthropic Claude Documentation
- OWASP Top 10 for LLM Applications
上記の一次情報は、社内稟議やベンダー比較の根拠として使えます。一方で、公開情報だけでは自社の現行システム、業務フロー、データ状態、予算制約までは判断できません。記事で一般論を把握した後は、自社条件に落とした診断が必要です。
GXOに相談するタイミング
次のいずれかに当てはまる場合は、記事を読み進めるだけでなく、早めに相談した方が安全です。
- 見積もり依頼前に、要件やRFPの粒度を整えたい
- 既存ベンダーの提案が妥当か第三者視点で確認したい
- 補助金、AI、セキュリティ、レガシー刷新が絡み、判断軸が複雑になっている
- 社内稟議で費用対効果、リスク、ロードマップを説明する必要がある
- PoCや診断で終わらせず、本番導入と運用改善まで進めたい
ClickFix攻撃とMimicRAT|5段階感染チェーンの手口と企業の防御策を自社条件で診断したい方へ
GXOが、現状整理、RFP/要件定義、費用対効果、ベンダー比較、導入ロードマップまで実務目線で確認します。記事の一般論を、自社の投資判断に使える形へ落とし込みます。
※ 初回相談では営業資料の説明よりも、現状・課題・判断材料の整理を優先します。
関連記事
ClickFix攻撃への耐性を診断しませんか?
GXOでは、ClickFixを含む最新のソーシャルエンジニアリング攻撃に対する社員の耐性テストと、PowerShell制限・EDR設定の最適化支援を提供しています。現状のリスクを可視化し、優先度の高い対策から段階的に実装します。