2026年3月 | SOC分析メモ
ClickFixは、ユーザー自身に悪意あるコマンドを実行させるソーシャルエンジニアリング手法として、2024年以降急速に普及した。しかし「いつ最初に観測されたか」という点については、参照するレポートによって記述にばらつきがある。本稿では複数のセキュリティベンダーのレポートを横断的に比較し、ClickFixの起源について考察する。
ClickFixという名称を命名・公表したのは Proofpoint であり、2024年6月17日付のブログ記事「From Clipboard to Compromise: A PowerShell Self-Pwn」が事実上の初出報告となっている。同記事では以下の時系列が明示されている。
Proofpoint自身が「as early as 1 March 2024(2024年3月1日という早い時期から)」と記述していることから、2024年3月1日が現時点で最も信頼性の高い「最初の観測日」と言える。
フランスの脅威インテリジェンス企業 Sekoia は、「ClickFix Tactic: The Phantom Meet」(2024年9月)において次のように記述している。
「2024年5月、ClearFakeクラスターを特徴とする新しいソーシャルエンジニアリング戦術 ClickFix が出現した」
一方で同記事内ではProofpointの報告を引用し、TA571が2024年3月から使用していた事実にも言及している。Sekoiaが「5月」に出現と記述しているのは、自社が観測・分析したClearFake変形の発生時期であり、TA571による最初の使用例とは別の文脈として理解できる。
業界紙 Dark Reading は2024年6月18日の記事で「Proofpoint observed TA571 using cut-and-paste PowerShell against victims as early as March 1(TA571が3月1日という早い段階でこの手法を使用していたことをProofpointが確認した)」と報じており、Proofpointの一次報告を補強する形となっている。
Infosecurity Magazine(2025年6月)やcyberdesserts.com(2026年1月)はいずれも「Proofpointが2024年3月に初めて観測した」という記述で一致しており、現在のセキュリティコミュニティにおけるコンセンサスが「2024年3月」であることを示している。
注目すべき例外として、Todylの2026年2月の記事は「First observed in October 2023(2023年10月に初めて観測された)」と記述している。これは他の主要レポートと大きく乖離している。
この「2023年10月」という記述の背景として考えられる要因は、Proofpointが2023年10月30日付で公開した「TA571 Delivers IcedID Forked Loader」というレポートの存在だ。この記事は ClickFix の前身となるクリップボード悪用手法に関連する TA571 の活動を扱っており、Todylが「ClickFixの原型的手法の観測起点」として遡及的にこの時期を参照した可能性がある。
| 時期 | 出来事 | 情報源 |
|---|---|---|
| 2023年10月頃 | TA571によるクリップボード悪用手法の前身活動(IcedID関連) | Proofpoint(2023年10月) |
| 2024年3月1日 | TA571が ClickFix 手法を用いた大規模キャンペーンを実施(初観測) | Proofpoint(一次報告) |
| 2024年4月初旬 | ClearFakeクラスターが同手法を採用 | Proofpoint |
| 2024年5月 | ClearFakeによる新変形をSekoiaが分析・レポート化 | Sekoia |
| 2024年6月17日 | Proofpointが「ClickFix」と命名し公開レポートを発表 | Proofpoint(公開) |
| 2024年9月以降 | 複数の攻撃グループへの普及が本格化 | Sekoia, Huntress 他 |
| 2024年10月〜2025年1月 | MuddyWater(イラン)、APT28(ロシア)、Kimsuky(北朝鮮)など国家支援グループへの採用を確認 | Proofpoint |
| 2025年上半期 | 攻撃件数が517%増加、全ブロック攻撃の約8%を占める | ESET, Huntress |
各レポートの記述にばらつきが生じる背景には、以下のような構造的要因がある。
①「観測」と「公開報告」のタイムラグ
実際の攻撃活動が観測されてから、レポートとして公開されるまでには数ヶ月のラグが生じることが多い。Proofpointが3月1日に観測した活動を公開したのは6月17日であり、この間に「第三者がいつ知ったか」が混同される。
②「ClickFix」という名称の後付け
Proofpointが「ClickFix」と命名したのは2024年6月であり、それ以前の活動は別の文脈(ClearFake、TA571活動など)として追跡されていた。遡及的に「ClickFix」として分類した際に、起点の認識がずれる。
③前身技術との境界線の曖昧さ
ユーザーにコマンドをコピー&ペーストさせる手法自体はClickFix以前から存在しており、Todylが「2023年10月」とする根拠も、この前身活動への参照と考えられる。
複数レポートの記述を照合した結果、現時点で最も根拠が明確な「ClickFix最初の観測時期」は 2024年3月1日(Proofpointによる TA571 キャンペーンの確認日) であると推論される。
ただし以下の留保が必要である。
SOCアナリストの実務観点では、「2024年3月を境にClickFixが脅威アクターのツールセットに本格的に組み込まれた」 という認識が、対応戦略を立てる上で最も実用的と言える。