本サイトの記事や画像はAIが公的資料や報道を整理し制作したものです。ただし誤りや不確定な情報が含まれることがありますので、参考の一助としてご覧いただき、実際の判断は公的資料や他の報道を直接ご確認ください。
短い動画の軽やかなBGMに乗せて、ちょっと得をするコツが示される。その裏で、情報窃取型マルウェアが忍び寄っている。SANS Instituteの報告で、TikTokが「ClickFix」と呼ばれる手口に悪用され、無料ソフトの“裏ワザ”が餌にされている実態が明らかになった。身近な画面が、攻撃の玄関口に化けていると映る。
TikTokで広がる“無料”の罠
画面には「Photoshopを無料で簡単にアクティベート」と大きく出る。指示は短い。管理者権限でPowerShellを開き、1行のコードを貼り付けて実行せよ。SANSのXavier Mertens氏が2025年10月17日に確認した動画は、いいねが500件超とされ、拡散の速さを物語る。
実際に走るのは「Updater.exe」と名乗る実行ファイルだが、その正体は情報窃取型のAuroStealerである。認証情報やシステム情報を吸い上げ、次の攻撃の足がかりにされる恐れがある。コードはリモートから読み込まれ、被害者の操作は“自分で動かした”という錯覚に包まれる。
Mertens氏は、追加のペイロードがメモリ上で動く仕掛けも指摘した。実行途中でcsc.exeが呼び出され、その場でコンパイルされたクラスがシェルコードを注入するという。表向きは“問題の修正”だが、内部では実行経路が巧妙に入れ替わる。新顔の手口というより、よく磨かれた古典の再演と映る。
ClickFixの正体と拡散の経路
ClickFixは、偽のエラーや「私はロボットではありません」を装った画面で、ユーザーに修復作業を促す。RunダイアログやPowerShellに貼り付けるコードは、クリップボードを介して用意されることも多い。自ら操作させるため、自動検知の網をすり抜けやすいとみられる。
Microsoftは2025年3月13日、旅行サイトを装う大規模フィッシングでClickFixが使われ、情報窃取型やRATの導入に繋がったと分析した。メールや改ざんサイト、広告経由で誘導し、最終段でmshtaやPowerShellを呼び出す流れが確認されている。到達経路は複線化している。
また、セキュリティ各社の観測でも、TikTok動画を足場にVidarやStealCといった情報窃取型が展開される事例が確認されている。顔の見えないアカウントが、ストリーミング改善や“無料化”を謳う動画を量産し、段階的な手順でコマンドを実行させる。アルゴリズムの拡散力と、作業感のある手順が組み合わさる構図が浮かぶ。
いま取るべき備えは何か
第一に、出所不明のコマンドを実行しないことだ。とくにSNSで見かけた“修正”“無料化”“高速化”は、たとえ数十秒の手順でも危うい。必要なソフトは公式から入手し、設定変更やアクティベーションは正規の案内だけに従う。不明点はコミュニティではなく製品ベンダーに当たる。
組織では、標準ユーザー運用やアプリケーション制御、スクリプト実行制限を重ねて、誤操作の影響範囲を狭めたい。メールやWebゲートウェイでのスキャンに加え、エンドポイントでのPowerShellやmshtaの挙動監視を強化する。ブラウザやOSの警告を無視させない運用も鍵となる。
被害は静かに始まる。クリック一つ、貼り付け一回の“お手伝い”が、認証情報の流出や遠隔操作の入口になる。軽やかなライフハックの陰にこそ疑いの目を向け、周囲とも情報を共有したい。画面の向こう側で何が動くのかを想像する力が、最初の防波堤になると感じる。
