「このコマンドを貼り付けてください」——動画が再生されない、認証がうまくいかない。そんなちょっとした不具合の裏で、私たちは自分の手でマルウェアを実行させられているかもしれません。攻撃者が狙うのは、脆弱性でも受信トレイでもなく、誰もが一日に何度も使う「コピー&ペースト」そのもの。ウイルス対策ソフトもメールフィルタもすり抜けるこの手口に、あるブラウザが真正面から対策を打ち出しました。守りの舞台は、コマンドが実行される直前の最後の一瞬。ブラウザが「ただ表示する道具」から「あなたの操作を見張る相棒」へと変わろうとしています。
Operaは2026年7月2日、ノルウェー・オスロで、クリップボードを狙った攻撃を防ぐ保護機能Paste Protectを発表した。Operaは、2025年にマルウェア読み込み型攻撃の半数超を占めたClickFix系攻撃に対し、ネイティブの保護・警告システムを搭載した初の主要ブラウザとなる。機能はデスクトップ版に標準搭載され、デフォルトで有効になっている。
Paste Protectは既存のHijack protectionと、新規のInjection protectionで構成される。Injection protectionはクリップボードをリアルタイムで監視し、Windows、macOS、Linuxそれぞれに合わせた手法で悪意あるスクリプトのパターンを検知する。脅威検知時はコピーをブロックし、警告を表示し、アドレスバーに赤いアイコンを出す。ユーザーはブロックされた内容の先頭120文字を確認できる。サイバーセキュリティ企業Huntressによると、ClickFixはこの種の活動の53%超を占める。OperaのHead of Securityはパヴェウ・クジェレフスキ、Senior Director of Productはモハメド・サラーである。
From:
Opera launches Paste Protect, the first native defense against clipboard-based attacks in a browser
【編集部解説】
まず押さえておきたいのは、Operaが対策の的を「入口」ではなく「出口の一歩手前」に定めた点です。従来のセキュリティ製品は、メールや外部通信という「外から入ってくる脅威」を止めることに最適化されてきました。ところがClickFixは、ユーザー自身にコマンドを貼り付けて実行させる手口です。攻撃コードは外から侵入するのではなく、ユーザーの手を通じて内側から起動されます。だからこそ、クリップボードという最後の関門に防御を置いたOperaの発想は、攻撃の構造そのものを突いていると言えます。
なぜ今このニュースなのか。それは、ClickFixがもはや「新しい珍しい手口」ではなくなったからです。Huntressの2026年サイバー脅威レポートは、ClickFixが2025年のマルウェアローダー活動の53%を占めたと報告しています。この技術がProofpointによって初めて観測されたのは2024年3月頃とされ、わずか2年足らずで主要な初期侵入経路に育ったことになります。
数字の広がりは、参照するレポートによって視点が異なります。Microsoftの2025年版デジタル防衛レポートは、Microsoft Defender Expertsの通知で観測された初期アクセス手法のうち、ClickFixを47%に位置づけ、従来型フィッシング(35%)を上回ったと分析しました。ESETは2025年上半期にClickFixの利用が517%増加したと報告し、当時の全ブロック攻撃に占める割合は約8%でした。つまり、測定主体や母集団によって数字は大きく変わりますが、「急伸している」という方向性はどのレポートも共有しています。
技術的な要点も補足しておきます。Paste Protectは既存のHijack protection(2021年導入)と、新設のInjection protectionの二段構えです。前者は、銀行口座番号や暗号資産ウォレットのアドレスがこっそりすり替えられる「送金先の書き換え詐欺」を防ぎます。後者は、コピーされた内容が悪意あるスクリプトのパターンに一致しないかをリアルタイムで監視し、Windows・macOS・Linuxそれぞれに応じた検知を行うものです。
この機能が優れているのは、ユーザーの熟練度に応じて振る舞いを変える設計にあります。初心者には警告で立ち止まらせつつ、開発者にはブロックの上書きや信頼サイトの許可指定という「逃げ道」を用意しました。日常的にスクリプトをコピーする開発者にとって、過剰な警告(アラート疲れ)は使い勝手を損なうため、この配慮は現実的な落としどころでしょう。
一方で、潜在的な限界も冷静に見ておく必要があります。Injection protectionはパターンに基づく検知です。攻撃者は難読化(コードを読みにくくする加工)や新しい亜種で回避を図り続けており、実際にFileFixやCrashFixといった派生手口が次々と登場しています。Paste Protectは「銀の弾丸」ではなく、あくまで防御の一層と捉えるのが妥当です。エンドポイント監視やユーザー教育と併用してこそ、本領を発揮します。
長期的な視座で見ると、この動きはブラウザの役割が変わりつつあることを示しています。かつてブラウザは「Webページを表示する窓」でしたが、いまや個人のデジタル行動が集約される最前線です。Operaは、ClickFix系のクリップボード攻撃へのネイティブ保護という領域で、Chrome、Firefox、Edgeに先んじたと位置づけられます。ブラウザ自体がセキュリティレイヤーを担う流れが定着すれば、いずれ他の主要ブラウザも追随し、これが標準装備になっていく可能性は十分にあります。「未来を報じる」立場から見れば、これはブラウザ競争の新しい主戦場が「安全性の作り込み」へ移る、その号砲かもしれません。
【用語解説】
ClickFix(クリックフィックス)
偽のエラー表示やCAPTCHA認証を装い、ユーザー自身に不正なコマンドをコピー&ペーストして実行させる手口。ソーシャルエンジニアリング(人の心理を突く攻撃)の一種で、ユーザーが自分の手で感染させるため、従来のセキュリティ製品では防ぎにくい。
ペーストジャッキング(pastejacking)
ユーザーが気づかないうちに、Webサイトが用意した悪意あるコマンドがクリップボードへ仕込まれ、そのまま貼り付けさせられる攻撃。自分がコピーしたつもりのものと、実際に貼り付けられるものが異なる。
クリップボード
コピーした内容を一時的に保持しておく、端末上の保管領域。Ctrl+C/Ctrl+V(Macの場合はCmd+C/Cmd+V)で使う仕組みそのものを指す。
ターミナル
文字ベースでコンピュータに命令を送るための入力画面。コマンドを打ち込むと、システムが直接その指示を実行する。ClickFixはここに不正コマンドを貼り付けさせる。
Hijack protection(ハイジャック保護)
Operaが2021年に導入した機能。外部アプリがユーザーに気づかれずクリップボードの中身をすり替えること(例:銀行口座番号や暗号資産ウォレットのアドレスの書き換え)を防ぐ。
Injection protection(インジェクション保護)
今回新設された機能。コピーされた内容が悪意あるスクリプトのパターンに一致しないかをリアルタイムで監視し、Windows・macOS・Linuxそれぞれに応じた検知を行う。
マルウェアローダー
本体となるマルウェアをダウンロード・実行するための「入口」となる不正プログラム。感染の第一段階を担う。
Huntress(ハントレス)
米国のサイバーセキュリティ企業。中小企業向けの脅威検知・対応サービスを提供し、脅威レポートを定期的に公開している。
【参考リンク】
Opera(公式サイト)(外部)
ノルウェー発のWebブラウザ。省メモリ設計や無料の内蔵VPNなど独自機能で知られ、今回Paste Protectを搭載した本体の提供元。
Opera Blog「Opera introduces Paste Protect」(外部)
Paste Protectの仕組みや操作方法を、クリップボードとは何かという用語から初心者向けに解説した公式ブログ。
Huntress 2026 Cyber Threat Report(外部)
本記事で引用された「ClickFixが53%超」の出典レポート。2025年のサイバー犯罪の傾向を分析した年次資料。
【参考記事】
Huntress Cyber Threat Report Exposes The Playbook for Organized Cybercrime(Huntress)(外部)
数値の一次ソース。ClickFixが2025年のマルウェアローダー活動全体の53%を牽引したと報告している。
ClickFix Attacks Surge 517% in 2025(Infosecurity Magazine)(外部)
ESETのデータをもとに、ClickFixが半年で517%急増しフィッシングに次ぐ経路になったと伝える記事。
Opera rolls out Paste Protect feature to fight ClickFix attacks(BleepingComputer)(外部)
Hijack protectionが2021年導入である点を明記し、技術面と対応OSに踏み込んだ報道。
Opera’s new Paste Protect feature stops the clipboard attack your antivirus can’t catch(Digital Trends)(外部)
ネイティブ搭載の意義を、他の主要ブラウザとの比較から浮き彫りにした記事。
【関連記事】
StealCとClickFix:偽CAPTCHAから始まる多段階マルウェア攻撃の全貌(内部)
ClickFixから情報窃取、ランサムウェアへ至る攻撃パイプラインを解説。今回の防御機能が何を止めるのかがよくわかる。
ClickFix攻撃:北朝鮮・イラン・ロシアの国家ハッカーが日本外交官を装った標的型マルウェア展開(内部)
国家支援型アクターまでもがClickFixを採用した実例。手口の深刻さと広がりを裏づける記事。
Booking.com偽装サイトからAsyncRAT感染拡大、偽CAPTCHAでクリップボードハイジャック攻撃が進化(内部)
クリップボードハイジャックの具体的な攻撃キャンペーン。防御側の視点である本記事と対で読みたい。
【編集部後記】
フィッシングメールなら「怪しいリンクは踏まない」と身構えられます。でもClickFixは、困っている人が「解決したい」と思う善意の一歩を利用します。真面目にトラブルを直そうとした人ほど、はまってしまう。ここに、この手口の残酷さがあります。
興味深いのは、Operaの解決策が「人を賢くしよう」とはしていないことです。教育や注意喚起で人の判断力を底上げするのではなく、判断を誤った瞬間に機械が割って入る。人は疲れるし、急いでいれば警告を読み飛ばすもの——その前提に立って設計されているように見えます。人の弱さを責めず、弱さがあることを織り込んで守る。この発想は、セキュリティに限らず、これからの技術と人の付き合い方のヒントになる気がします。
もちろん、これで安心とはいきません。パターンで見抜く仕組みである以上、攻撃者は必ず抜け道を探します。FileFixやCrashFixのような派生が次々生まれている現実を見れば、この機能は「一枚の壁」であって「万里の長城」ではないと考えておくのが健全でしょう。それでも、これまで無防備だったコピー&ペーストという領域に、初めて見張りが立った意味は小さくありません。
最後に、ひとつだけ一緒に考えたいことがあります。ブラウザがここまで私たちの操作に踏み込んでくるとき、その「見張り」をどこまで歓迎し、どこから「余計なお世話」と感じるのか。安全と自由の線引きは、人によっても、場面によっても違うはずです。あなたなら、自分のブラウザにどこまで手綱を預けますか。その問いを持ち帰ってもらえたら、この記事を書いた意味があったと思えます。












