偽のブルースクリーンで操作を誘導する「ClickFix」攻撃とは ― 正規ツール悪用で検知を回避する新手口と中小企業の守り方
「パソコンにブルースクリーンが出たので、画面の指示に従って操作したら、マルウェアに感染していた」——そんな攻撃が現実に報告されています。
セキュリティベンダーSecuronixが2025年末から追跡している攻撃キャンペーン「PHALT#BLYX」は、ホテルの予約キャンセルを装ったフィッシングメールを起点に、偽のCAPTCHAや**Windowsのブルースクリーン(BSoD)**を表示し、ユーザー自身の手で不正なコマンドを実行させるという巧妙な手口を用いています。
この記事では、この攻撃の仕組みを整理した上で、中小企業の情シス担当者が取るべき具体的な対策を解説します。
「ClickFix」とは何か
ClickFixは、2024年後半から急速に広がっているソーシャルエンジニアリングの手法です。従来のフィッシング攻撃は「添付ファイルを開かせる」「不正なリンクをクリックさせる」というパターンが主流でしたが、ClickFixはユーザー自身にコマンドを入力・実行させるという点で大きく異なります。
典型的な流れはこうです。まず、Webサイト上に偽のCAPTCHA認証やエラー画面を表示します。次に「問題を解決するには以下の手順を実行してください」と案内し、Windowsの「ファイル名を指定して実行」ダイアログ(Win+R)を開かせます。そこにクリップボードにコピーされた不正なPowerShellコマンドを貼り付けさせ、Enterキーを押させます。
ユーザーが「自分の意思で操作している」形になるため、ブラウザのセキュリティ警告や自動ダウンロードのブロックを回避できてしまうのが厄介な点です。
PHALT#BLYX攻撃の全体像
今回のPHALT#BLYXキャンペーンは、主に欧州のホテル・宿泊業界を標的としていますが、手口自体は業種を問わず応用可能なものです。攻撃の流れを段階ごとに見ていきましょう。
第1段階:フィッシングメール
攻撃はBooking.comを装ったフィッシングメールから始まります。「予約がキャンセルされました」という内容で、ユーロ建てで1,000ユーロ超の高額な請求金額が表示されます。金額の大きさで焦りを煽り、「詳細を確認する」ボタンをクリックさせる狙いです。
ホテルのフロントスタッフや予約担当者にとって、予約キャンセルと高額請求は即座に確認すべき事案であり、冷静な判断が難しくなります。攻撃者はこの業務上の緊急性を巧みに突いています。
第2段階:偽サイトでのClickFix誘導
メール内のリンクをクリックすると、Booking.comそっくりの偽サイトに誘導されます。ブランドカラー、ロゴ、フォントまで精巧に模倣されており、見た目だけでは偽物と判別するのは困難です。
偽サイトではまず「読み込みエラー」が表示され、「ページを再読み込み」ボタンのクリックを促します。ボタンを押すとブラウザがフルスクリーンモードに切り替わり、Windowsのブルースクリーン(BSoD)を模した画面が表示されます。
この偽ブルースクリーンには「問題を解決するには以下の手順を実行してください」という案内が表示され、特定のキー操作(Win+Rで「ファイル名を指定して実行」を開く→コマンドを貼り付ける→Enterを押す)を指示します。実際にはJavaScriptで制御された単なるWebページですが、フルスクリーン表示のため本物のBSoDと見分けがつきにくくなっています。
第3段階:PowerShellによるマルウェアのダウンロード
ユーザーが指示に従ってコマンドを実行すると、PowerShellスクリプトが動作し、外部サーバーからMSBuildのプロジェクトファイル(.proj)がダウンロードされます。
第4段階:MSBuild.exeによる検知回避
ここが今回の攻撃で最も注目すべきポイントです。ダウンロードされたプロジェクトファイルは、Microsoftの正規ビルドツールMSBuild.exeによって実行されます。
MSBuild.exeはVisual Studioなどの開発環境で使われる正規のシステムツールであり、多くのセキュリティソフトでは「信頼されたプロセス」として扱われます。このような正規のシステムツールを悪用してマルウェアを実行する手法は**「Living off the Land(LotL:環境寄生型攻撃)」**と呼ばれ、従来のウイルス対策ソフトでは検知が非常に難しいのが実情です。
第5段階:Windows Defenderの無効化と永続化
MSBuildによって実行されたコードは、以下の処理を行います。
まず、Windows Defenderの除外設定を追加して、マルウェアの保存先ディレクトリや実行ファイルの拡張子を検知対象から外します。次に、スタートアップフォルダにインターネットショートカットファイル(.url)を配置して永続化(PC再起動後も自動実行)を確保します。さらに、管理者権限がない場合はUACプロンプトを繰り返し表示して管理者権限の取得を試みます。
第6段階:DCRatの展開
最終的に展開されるのは**DCRat(DarkCrystal RAT)**というリモートアクセス型トロイの木馬です。DCRatは.NET製のマルウェアで、キーロガー(キー入力の記録)、プロセスホロウイング(正規プロセスへの寄生)、リモートからの任意コマンド実行、追加マルウェアのダウンロード、暗号通貨マイニングなどの機能を備えています。
正規のプロセス(aspnet_compiler.exeなど)に注入されて動作するため、タスクマネージャーを見ても不審なプロセスとして認識しにくいのが特徴です。
なぜ従来のセキュリティ対策では防ぎにくいのか
この攻撃が厄介な理由は、複数のレイヤーで従来の防御を回避している点にあります。
メールフィルタリングの回避: フィッシングメール自体にはマルウェアが添付されておらず、リンク先も直接的な不正サイトではなくリダイレクタを経由するため、メールゲートウェイでの検知が難しくなっています。
ブラウザセキュリティの回避: ClickFixはユーザー自身の操作でコマンドを実行させるため、ブラウザの自動ダウンロードブロックやポップアップブロックが機能しません。
エンドポイント保護の回避: MSBuild.exeやPowerShellといったWindows標準ツールを使うため、多くのEDR・アンチウイルス製品が「正規の操作」と判断してしまいます。
Windows Defenderの回避: マルウェア自身がDefenderの除外設定を書き換えるため、仮にDefenderが有効でも検知できなくなります。
中小企業が取るべき対策
対策1:社員教育の強化(最重要)
この攻撃の起点はあくまで「人の操作」です。社員に以下のポイントを周知しましょう。
「ファイル名を指定して実行」にコマンドを貼り付けるよう求めるサイトは100%詐欺です。 正規のWebサイトがWindowsの「ファイル名を指定して実行」や「PowerShell」でのコマンド実行を求めることはありません。これはIT部門の全社員への周知事項として最優先で伝えるべきメッセージです。
CAPTCHAの認証でキーボードショートカットの実行を求められることも絶対にありません。本物のCAPTCHAは画像の選択やテキスト入力だけで完了します。
対策2:PowerShellの実行ポリシーの制限
一般ユーザーのPCでPowerShellのスクリプト実行を制限することで、ClickFix攻撃の成功率を大幅に下げられます。グループポリシーで「スクリプトの実行を許可しない」または「署名済みスクリプトのみ許可」に設定しましょう。
ただし、PowerShellの実行ポリシーは万能ではなく、回避方法も存在します。あくまで多層防御の一つとして位置づけてください。
対策3:MSBuild.exeの監視
一般的なオフィスPCでMSBuild.exeが実行されることは通常ありません。開発者以外のPCでMSBuild.exeが実行された場合にアラートを上げる監視ルールを設定しましょう。Microsoft Defender for Endpointや、EDR製品のカスタム検知ルールで実現できます。
同様に、aspnet_compiler.exe、RegSvcs.exe、RegAsm.exeなどの開発系ツールが一般ユーザーのPCで外部通信を行っている場合も要注意です。
対策4:Windows Defenderの除外設定の保護
攻撃者がPowerShellのAdd-MpPreferenceコマンドでDefenderの除外設定を追加するのを防ぐため、**Tamper Protection(改ざん防止)**を有効にしましょう。Windows 10/11のWindowsセキュリティ設定から有効化できます。Intuneによる一括管理も可能です。
対策5:メール訓練とフィッシング対策
Booking.comやその他のオンラインサービスを装ったフィッシングメールへの耐性を高めるため、定期的なフィッシングメール訓練を実施しましょう。特にホテル・旅行業界、あるいは日常的にオンライン予約サービスを利用する企業では優先度の高い対策です。
また、メール内のリンクをクリックする前に、送信元アドレスとリンク先URLを確認する習慣を徹底してください。不審な場合は、メール内のリンクではなく公式サイトに直接アクセスして内容を確認するよう指導しましょう。
対策6:ファイル拡張子の表示を有効にする
Windowsのデフォルト設定ではファイル拡張子が非表示になっています。これを有効にすることで、不審なファイル(.hta、.url、.projなど)を社員が視覚的に識別しやすくなります。グループポリシーで全社一括設定が可能です。
攻撃手法の進化に注意
Securonixの調査によると、PHALT#BLYXの攻撃者は数ヶ月前まで.htaファイルとmshta.exeを使ったよりシンプルな手法を用いていましたが、セキュリティ製品による検知を受けて、MSBuild.exeを悪用するより高度な方式に移行しています。
攻撃手法は常に進化しています。「うちは小さい会社だから狙われない」という考えは危険です。ClickFixの手口は特定の業種や企業規模に限定されるものではなく、予約確認、請求書、配送通知など日常的なビジネスメールを装うバリエーションがいつ登場してもおかしくありません。
まとめ
PHALT#BLYXキャンペーンは、ソーシャルエンジニアリング(人間の心理を突く)とLiving off the Land(正規ツールの悪用)を組み合わせた高度な攻撃です。従来の「怪しいファイルを開かない」「怪しいリンクをクリックしない」という注意喚起だけでは防ぎきれません。
中小企業の情シス担当者として最も重要なのは、**「Webサイトの指示でWindowsのコマンドを実行してはいけない」**というメッセージを全社員に浸透させることです。技術的な対策(PowerShell制限、MSBuild監視、Tamper Protection)と組み合わせることで、この種の攻撃に対する防御力を大幅に高められます。
参考情報: