「偽CAPTCHA → ClickFix」誘導の解剖

ClickFixとは、偽のCAPTCHAページがユーザーをだまして、Windowsの「ファイル名を指定して実行」ダイアログにクリップボードのコマンドを貼り付けさせる手法だ。クリップボードに仕込まれるコマンドは通常、second-stageローダーをダウンロードするPowerShellのワンライナーである。

インフラは驚くほどシンプルだ：侵害されたWordPressプラグインが条件付きscriptを一つ注入し、訪問者がターゲットプロファイル（Windows＋非企業IP＋初回訪問）に該当する場合にページを囮に置き換える。

私たちのpipelineはこれをredirect-chainの段階で捕捉する。注入されたJSは/wp-content/plugins/<name>/api.phpへのsame-origin fetchを行い、囮HTMLを返す。このfetchはパッシブスキャナーには見えないが、実ブラウザでの再実行では明白に記録される。

朗報がある：直近の四半期に確認されたすべての検出で、api.phpのレスポンスに同一の3文字ヘッダーが共通して含まれていた。現在はこのヘッダーをネットワークレベルで早期警告としてフラグを立てている。