LevelBlueのSpiderLabsチームは2026年2月12日、ClickFixと呼ばれるソーシャルエンジニアリング手法を起点としたStealCインフォスティーラーの多段階攻撃チェーンに関する分析を公開した。
攻撃は、侵害された正規ウェブサイト(madamelam.com)を経由して偽のCloudflare CAPTCHA認証ページを表示し、ユーザーにPowerShellコマンドを実行させるところから始まる。感染はPowerShell、Donutフレームワークで生成された位置独立型シェルコード、PEダウンローダー/インジェクターの4段階を経て、最終的にStealCがsvchost.exeにプロセスインジェクションされる。
StealCはMaaS(Malware-as-a-Service)モデルで運用され、Chrome、Edge、Firefoxなどのブラウザ認証情報、MetaMaskなど50以上の暗号資産ウォレット拡張機能、Steamアカウント、Outlookの認証情報、システム情報、スクリーンショットを窃取する。C2通信にはBase64+RC4暗号化を使用し、ファイルレス実行と自己削除により検知を回避する。
From: 
How ClickFix Opens the Door to Stealthy StealC Information Stealer
【編集部解説】
今回のLevelBlue SpiderLabsによる分析が重要なのは、単なるマルウェアの技術解説にとどまらず、2025年以降のサイバー攻撃の「構造的な変化」を端的に示している点にあります。
まず、起点となるClickFixという手法について補足します。ClickFixは2024年半ばに初めて確認されたソーシャルエンジニアリング手法で、偽のCAPTCHAやエラーメッセージを通じて、ユーザー自身にPowerShellコマンドを実行させるのが特徴です。従来のフィッシング攻撃と根本的に異なるのは、悪意あるファイルのダウンロードやリンクのクリックを必要としない点にあります。ユーザー自身のキーボード操作(Win+R → Ctrl+V → Enter)という「正常な操作」を介してマルウェアが実行されるため、メールフィルタやエンドポイント保護をすり抜けやすい構造となっています。
この手法の拡大は急速です。Microsoftが2025年8月に公開した分析によると、2025年初頭の時点で、EDRソリューションが有効な環境下でも月あたり数千台の端末がClickFix攻撃の影響を受けていたと報告されています。ESETの2025年上半期のデータでは、HTML/FakeCaptcha(ClickFix)がマルウェア検出のトップ10で第2位を占め、全ブロック数の7.7%に達しました。国家支援型のアクターも採用しており、ロシア系のAPT28やStar Blizzard、イラン系のMuddyWater、さらには北朝鮮系グループが採用する「ClickFake Interview」キャンペーンも確認されています。
次に、最終ペイロードであるStealCの位置づけを理解することが重要です。StealCは2023年初頭にアンダーグラウンドフォーラムで登場し、MaaS(Malware-as-a-Service)モデルで販売されているインフォスティーラーです。2025年3月にはV2がリリースされ、RC4暗号化の導入、JSONベースのC2プロトコル、マルチモニタースクリーンショット機能、サーバーサイドでのブラウザ認証情報の復号など、大幅な機能強化が行われました。アンダーグラウンドフォーラムでの価格は月額200ドルから300ドル程度とされ、技術力の低い攻撃者でも高度な攻撃能力を手にできる状況を生み出しています。
こうしたインフォスティーラーが実際にどれほどの被害をもたらしているかを示すデータがあります。Flashpointの2025年中間レポートによると、2025年上半期だけで18億件の認証情報が580万台のデバイスからインフォスティーラーによって窃取され、前期比800%の増加を記録しました。さらに深刻なのは、窃取された認証情報がランサムウェア攻撃の起点となっている点です。Sophos傘下のSecureworksは2025年12月、ClickFixキャンペーンを経由してStealCに感染した端末の認証情報が、約1か月後にQilinランサムウェアの展開に利用された事例を報告しています。窃取された認証情報がイニシャルアクセスブローカーを通じてランサムウェアアフィリエイトに売却される、あるいはRussian Marketなどのマーケットプレイスで流通する――こうした「ClickFix → インフォスティーラー → ランサムウェア」のパイプラインが現実の脅威として定着しつつあります。
本記事で解説されている攻撃チェーンのもう1つの注目点は、全段階がメモリ上で完結するファイルレス設計です。Donutフレームワークによるシェルコード生成、リフレクティブPEローディング、svchost.exeへのプロセスインジェクション、そして実行後の自己削除まで、ディスク上に痕跡をほとんど残しません。従来のシグネチャベースのアンチウイルスやEDRでは検出率に限界があり、振る舞い分析やネットワークトラフィックの異常検知がより重要になっています。
読者の皆さんにとって実務的に押さえておくべきポイントは、この攻撃が「ユーザーの正常な操作」を利用するという点です。ブラウザに保存したパスワード、暗号資産ウォレットの拡張機能、Steamのアカウント情報、Outlookの認証情報――日常的に利用しているあらゆるデジタル資産が標的となります。FIDO2パスキーへの移行、ブラウザへのパスワード保存の見直し、PowerShellの実行ポリシーの厳格化といった対策が、今後ますます不可欠となるでしょう。
【用語解説】
ClickFix(クリックフィックス)
2024年半ばに初めて確認されたソーシャルエンジニアリング手法。偽のCAPTCHAやエラーメッセージを表示し、ユーザー自身にPowerShellコマンドを実行させてマルウェアを感染させる。FileFix、JackFixなどの亜種も存在する。
インフォスティーラー(情報窃取型マルウェア)
感染端末からブラウザの認証情報、暗号資産ウォレット、セッションCookieなどの機密データを自動的に収集・送信するマルウェアの総称である。
MaaS(Malware-as-a-Service)
マルウェアの開発者が、カスタマイズ可能なビルドと管理パネルを月額課金で提供するビジネスモデル。StealCの場合、月額200ドルから300ドル程度で販売されている。
C2(コマンド・アンド・コントロール)サーバー
攻撃者がマルウェアに対して指令を送り、窃取したデータを受信するための遠隔サーバーである。
ファイルレス実行
ディスク上にファイルを書き込まず、メモリ上のみでマルウェアを実行する手法。従来のシグネチャベースのアンチウイルスによる検出を回避しやすい。
リフレクティブPEローディング
Windowsの標準ローダーを使用せず、実行ファイル(PE)を完全にメモリ上で読み込み・実行する技術である。
プロセスインジェクション
svchost.exeなど正規のWindowsプロセスのメモリ空間に悪意あるコードを注入し、正規プロセスの権限で実行する技術である。
DPAPI(Data Protection Application Programming Interface)
Windowsが提供するデータ保護API。ブラウザやOutlookの保存パスワードの暗号化に使用されるが、StealCはこれを悪用して復号する。
RC4
ストリーム暗号方式の一種。StealCでは文字列の難読化とC2通信の暗号化に使用されている。
IOC(Indicators of Compromise/侵害指標)
不正侵入が発生したことを示す痕跡。IPアドレス、URL、ファイルハッシュなどが含まれ、脅威検知に活用される。
FIDO2パスキー
パスワードに代わる認証方式。公開鍵暗号技術を使用し、認証情報がサーバーに保存されないため、インフォスティーラーによる窃取に対して耐性が高い。
EDR(Endpoint Detection and Response)
エンドポイント上の挙動を継続的に監視し、脅威の検出・対応を行うセキュリティソリューションである。
【参考リンク】
LevelBlue SpiderLabs(公式)(外部)
LevelBlue傘下の脅威インテリジェンス部門。1,000人以上のセキュリティ専門家で構成される本記事の発行元。
Flashpoint(公式)(外部)
脅威インテリジェンスプラットフォーム企業。編集部解説で引用した2025年中間レポートの発行元である。
Cloudflare(公式)(外部)
CDN・ウェブセキュリティ大手。本攻撃では同社のCAPTCHA認証ページが模倣のターゲットとなった。
StealC C2 Traffic Decryption Tool(GitHub)(外部)
元記事で提供されているStealC C2通信復号用Pythonスクリプト。PCAPファイルからの抽出と復号に対応。
【参考記事】
Think before you Click(Fix): Analyzing the ClickFix social engineering technique — Microsoft Security Blog(外部)
Microsoftが2025年8月に公開。2025年初頭にEDR有効環境でも月数千台が影響を受けたと報告している。
Staggering 800% Rise in Infostealer Credential Theft — Infosecurity Magazine(外部)
Flashpoint中間レポートに基づく報道。2025年上半期に18億件の認証情報が窃取され前期比800%増。
I am not a robot: ClickFix used to deploy StealC and Qilin — Sophos(外部)
ClickFix経由のStealC感染が約1か月後にQilinランサムウェア展開に利用された事例を詳述。
StealC v2 Malware Enhances Stealth and Expands Data Theft Features — Picus Security(外部)
StealC V2の技術的詳細を解説。23以上のブラウザ、100以上の拡張機能、15以上のウォレットに対応。
ClickFix: An Adaptive Social Engineering Technique — CIS(外部)
CISが公開。2025年前半のAlbert監視アラートの3分の1以上をClickFix関連が占めたと報告している。
Infostealers stole 1.8B credentials in 2025: How to defeat them — Vectra AI(外部)
2025年に18億件の認証情報窃取、EDRバイパス率66%と報告。StealC V2の月額200ドルにも言及。
【編集部後記】
「私はロボットではありません」―このフレーズを見て、何の疑いもなくクリックした経験は誰にでもあるのではないでしょうか。今回のClickFixが突きつけるのは、まさにその「当たり前の操作」が攻撃の入口になり得るという現実です。
ブラウザにパスワードを保存する便利さと引き換えに、私たちは何をリスクにさらしているのか。皆さんの日常のセキュリティ習慣を見直すきっかけとして、この記事がお役に立てればうれしいです。
