バグニュース

大規模なClickFixマルウェア攻撃により、700以上の教育・テクノロジー系ウェブサイトが乗っ取られる

ピーター・アルンツ| 2026年5月26日
ClickFixはWindows模倣している

攻撃者は、コンテンツ管理システム「Ghost」の重大な脆弱性( を悪用し、700以上の正規ウェブサイトを乗っ取り、偽のCloudflare認証手順を挿入しています。これにより、訪問者を騙してマルウェアをインストールするWindows を実行させています。

ウェブサイト訪問者を騙して、自身のシステム上で悪意のあるコマンドを実行させるこうしたソーシャルエンジニアリング攻撃は、一般に「ClickFix」攻撃として知られています。今回のケースでは、サイバー犯罪者たちは、大学やテクノロジー企業など、信頼されている組織のウェブサイトを、マルウェア攻撃の配信プラットフォームとして悪用しました。

CVE-2026-26980として追跡されている既知のSQLインジェクションの脆弱性を悪用し、700以上のGhost搭載ウェブサイトが侵害されました。攻撃者はこの脆弱性を利用して管理用APIキーを盗み出し、影響を受けたサイト全体の投稿やページに、利用者に気付かれることなく悪意のあるJavaScriptを埋め込みました。

研究者らは、注入されたスクリプトが第2段階のClickFixフローを読み込み、訪問者に偽のCloudflareまたはCAPTCHA認証ダイアログを表示することを突き止めた。

Cloudflareの偽の認証例
Cloudflareの偽の認証例

通常のチェックボックスの代わりに、このページではユーザーに対し、コマンドをWindows 」ダイアログやPowerShellに貼り付けるよう指示しており、事実上、ユーザーをだまして自身のシステムにマルウェアをインストールさせてしまう仕組みになっている。

ウェブサイト管理者向け詳細

このキャンペーンの核心にあるのは、GhostのコンテンツAPIに存在する重大なSQLインジェクションの脆弱性です。研究者らは次のように指摘しています:

「認証なしに、攻撃者はこの脆弱性を通じて、Ghost Admin APIの呼び出しに使用されるAdmin API Keyを含め、データベースの内容を直接読み取ることが可能です。」

この脆弱性は、Ghostのバージョン3.24.0から6.19.0に影響を及ぼし、ログインせずに悪用される可能性があります。

修正パッチが公開されましたので、できるだけ早くインストールしてください。これは「ClickFix」キャンペーンへの対応という理由だけではありません。攻撃者がAdmin APIキーを盗み出せば、投稿の編集・削除・作成、スクリプトの埋め込み、テーマの乗っ取り、その他さまざまな方法でユーザー向けのコンテンツを改ざんすることが可能になるからです。

安全に過ごすには

このキャンペーンは、「人間であることを確認してください」「接続を修正してください」「サイトへ進む」といった、一見無害な技術的な手順のように装われているため、特に効果的であると考えられます。さらに悪いことに、その内容はユーザーがすでに信頼しているウェブサイトに表示されるのです。

クリックフィックスが猛威を振るっている現状——そして近いうちに収まる気配もない——警戒心を持ち、注意深く、そして身を守ることは重要です。

  • 落ち着いてください。ウェブページ上の指示を、よく考えもせずに実行してはいけません。特に、そのページでデバイス上でコマンドを実行したり、コードをコピー&ペーストしたりするよう求められている場合は注意が必要です。攻撃者は、急がせることで利用者の判断力を鈍らせようとします。多くのClickFixページでは、カウントダウンや偽のユーザー数表示、その他のプレッシャーをかける手法を用いて、利用者に急いで行動させようとしています。
  • 信頼できないソースからのコマンドやスクリプトの実行は避けてください。ウェブサイト、メール、メッセージからコピーしたコードやコマンドは、そのソースを信頼し、その操作の目的を十分に理解している場合を除き、決して実行しないでください。ウェブサイト上でコマンドの実行や技術的な操作を行うよう指示された場合は、実行する前に公式ドキュメントを確認するか、サポートに問い合わせてください。
  • コマンドをコピー&ペーストする際は注意が必要です。攻撃者は、クリップボード内のテキストに悪意のあるペイロードを隠すことがよくあります。コマンドをコピー&ペーストするのではなく、手動で入力することで、知らず知らずのうちに隠された悪意のあるペイロードを実行してしまうリスクを減らすことができます。
  • デバイスを保護してください。最新のリアルタイムマルウェア対策ソリューションとウェブ保護機能を使用してください
  • 進化し続ける攻撃手法について、常に最新情報を入手しましょう。サイバー犯罪者は絶えず手口を変えていますこうした状況において、脅威への認識を高めることが最も効果的な防御策の一つです。ぜひ当ブログを読み続けてください!

プロのヒント:無料の Malwarebytes Browser Guard 拡張機能は、ウェブサイトがクリップボードに何かをコピーしようとした際に警告してくれることをご存知ですか?

被害が及ぶ前に脅威を阻止しましょう。

Malwarebytes Browser Guard 、フィッシングページや悪意のあるサイトを自動的にBrowser Guard 。無料で、ワンクリックでインストールできます。ブラウザに追加する →

著者について

ピーテル・アルンツ

ピーテル・アルンツ

マルウェアインテリジェンス研究者

コンシューマー・セキュリティ部門で12年連続マイクロソフトMVP。4ヶ国語を操る。リッチなマホガニーと革張りの本の匂い。

最新記事

ニュース
安全保障週間

セキュリティの1週間(5月18~5月24variable2%日)

5月25, 2026

2026年5月18日から5月24日までの1週間に取り上げたトピックの一覧

バグ
Chrome ロゴ

Chrome 更新してください:重大なバグにより、攻撃者がコードを実行できる可能性があります

5月22, 2026

Chrome 、攻撃者が悪意のあるウェブサイトを通じて悪用する可能性のある重大な脆弱性が修正されていますが、「Browser Fetch」の脆弱性は修正されていません。

バグ
ディフェンダーのロゴ

Microsoft Defenderの脆弱性が実環境で悪用されている

5月21, 2026

CISAは、Microsoft Defenderの脆弱性2件を含む、既知の悪用事例がある脆弱性7件をKEVカタログに追加した。

関連記事

投稿者アイコン

投稿者

脅威センターのアイコン

スレットセンター

ポッドキャスト・アイコン

ポッドキャスト

用語集アイコン

用語集

詐欺アイコン

詐欺