>
>
公開日
ドライブバイダウンロードは、正規サイトや広告を見ただけでマルウェア感染につながるため、従来の「怪しいサイトを避ける」という対策だけでは不十分です。2025年以降は、偽CAPTCHAや偽エラー画面でユーザー自身にコマンドを実行させるClickFixも急増しています。
本記事は、情報システム部門、社内PCを管理する担当者、自社サイトを運営するWeb担当者、iPhone・Androidを含む個人利用者を対象に、ドライブバイダウンロード攻撃の仕組み、国内事例、感染したかどうかの確認方法、企業規模別のドライブバイダウンロード対策を実務目線で解説します。
ドライブバイダウンロードとは
本記事のポイント:
ドライブバイダウンロードとは、Webサイト閲覧だけでマルウェアが端末に送り込まれる攻撃である。
2025年以降は、偽CAPTCHAでWin + R操作を促すClickFixが急増している。
PCだけでなく、iPhoneやAndroidもOS・ブラウザの脆弱性や偽アプリ経由で被害対象になる。
情シスは入口対策、端末の挙動検知、従業員教育を組み合わせて防御する必要がある。
ドライブバイダウンロードはユーザーに一切の操作をさせず自動的に感染を完了させる極めて危険なサイバー攻撃である。
drive by downloadの正確な意味
ドライブバイダウンロード、つまりdrive by downloadとは、利用者がファイルを選んで保存したり、実行ボタンを押したりしなくても、改ざんサイトや不正広告を表示しただけで不正プログラムが読み込まれる攻撃です。略してドライブバイと呼ばれることもあります。
最新ブラウザへの更新だけでは防げない理由
Chrome、Edge、Safariなどの主要ブラウザは、危険な処理を隔離するサンドボックス化を進めています。それでも、修正前のゼロデイ脆弱性を突かれた場合や、ClickFixのようにブラウザ外のPowerShellやターミナルをユーザー自身に起動させる場合は、ブラウザ保護の範囲を越えて感染が成立します。ESETのThreat Report H1 2025では、ClickFixの検出が2024年下半期比で500%以上増加したと報告されています。
iPhone・スマホも安全とは限らない
iPhoneやAndroidはアプリの権限制御が強い一方、OS更新の放置、不審な構成プロファイル、正規ストア外アプリ、偽アップデート画面を起点に被害が発生します。スマホでも、突然の発熱、通信量の急増、覚えのないVPN・デバイス管理設定があれば確認対象になります。
攻撃者が使う具体的な仕組みと手口
攻撃者はシステムと人間の双方の隙を突き、巧妙にマルウェアを端末内へ送り込む。
代表的な感染チェーン
ドライブ バイ ダウンロード攻撃とは、閲覧、判定、取得、実行の4段階で進みます。
誘導:改ざんされた正規サイト、不正広告、SEOポイズニングで作られた偽ダウンロードページにアクセスさせる。
環境判定:OS、ブラウザ、拡張機能、端末種別を判定し、使える脆弱性や誘導文を出し分ける。
マルウェア取得:脆弱性があれば自動取得し、ClickFixではユーザーにコマンド貼り付けを実行させる。
侵害拡大:認証情報やCookieを盗み、社内システムへの横展開につなげる。
ClickFixはユーザー自身に感染操作をさせる
ClickFixでは、偽のCAPTCHAやブラウザエラー画面が表示され、WindowsではWin + R、MacではCommand + Spaceを押すよう誘導されます。次に、クリップボードへ自動コピーされたPowerShellやターミナル用コマンドを貼り付けて実行させます。これはブラウザの脆弱性を突かず、OS標準の管理用プログラムを悪用するため、従来型のウイルス対策ソフトでは正規の管理操作と誤認されやすい手口です。
攻撃手口の比較
手口 | 主な入口 | 狙う弱点 | 情シスの優先対策 |
|---|---|---|---|
従来型ドライブバイダウンロード | 改ざんサイト、不正広告 | ブラウザやプラグインの脆弱性 | パッチ管理、SWG、EDR |
ClickFix | 偽CAPTCHA、偽エラー画面 | ユーザー心理とPowerShellなどの正規ツール | スクリプト実行制限、教育、EDR |
偽ソフト配布 | 検索広告、SEOポイズニング | 検索上位は安全という思い込み | 広告リンク注意喚起、DNS防御、ダウンロード対策 |
インフォスティーラーとサプライチェーン攻撃の親和性
近年の最終ペイロードは、Lumma Stealer、Rhadamanthys、Stealcのようなインフォスティーラーが目立ちます。ブラウザ保存パスワード、セッションCookie、暗号資産ウォレット、SaaSログイン情報が盗まれると、多要素認証を回避した不正ログインや、取引先環境へのラテラルムーブメントに発展します。つまり、1台の社用PC感染がサプライチェーン全体の初期侵入になり得ます。
国内の被害事例と脅威の実態
改ざんされるのは日常業務で使われる信頼性の高い正規サイトである。
国内でも正規サイト改ざんが入口になる
IPAの不正アクセス届出事例では、国土交通省関連の公式サイトが改ざんされ、閲覧者をドライブバイダウンロードへ誘導する踏み台になった事例が紹介されています。これは過去の届出事例であり現在の当該サイトの状態を示すものではありませんが、公共機関のサイトでも改ざんリスクがあることを示しています。
JPCERT/CCが警告した水飲み場型攻撃
JPCERT/CCは2023年から2024年にかけて、国内大学研究室サイトや国内メディアサイトの改ざんを通じ、SQRootと呼ばれるマルウェアが自動ダウンロードされる攻撃を注意喚起しました。特定業界の関係者がよく見るサイトを狙うため、水飲み場型攻撃とドライブバイダウンロードが組み合わさる典型例です。
2025年の統計が示す被害の大きさ
トレンドマイクロの2025年11月時点の調査では、国内で公表されたセキュリティインシデントは501件に達し、1日あたり約1.5件のペースでした。金融庁が2025年7月に公表した情報では、2025年上半期の証券口座不正取引被害額が5,700億円を突破しています。すべてがドライブバイダウンロード由来ではありませんが、フィッシングやインフォスティーラーで盗まれた認証情報の悪用が大きな要因です。
検出の遅れが復旧コストを押し上げる
IBMのCost of a Data Breach Report 2024では、盗まれた認証情報を起点とする侵害は検出・封じ込めまで平均250日以上かかり、平均コストは499万ドル、日本円で約7億円超に達するとされています。ASKULやアサヒグループホールディングスなど国内大手企業のランサムウェア被害では侵入経路が公表されていないケースもありますが、認証情報窃取からランサムウェアへつながる攻撃エコシステムは情シスが前提に置くべきリスクです。
よくある誤解と失敗パターン
怪しいサイトを避けるだけでは最新の自動・自爆型攻撃を防ぐことは不可能である。
誤解1:有名サイトだけ見れば安全
攻撃者が狙うのは、むしろ利用者が信頼している官公庁、大学、業界メディア、取引先サイトです。広告ネットワークやCMSの脆弱性が悪用されると、閲覧者は正規URLにアクセスしているつもりでも攻撃コードを読み込まされます。
誤解2:OSとブラウザを更新すれば100%防げる
更新は最重要の基本対策ですが、ゼロデイ脆弱性とClickFixには限界があります。ClickFixは脆弱性を突かず、人にPowerShellやターミナルを実行させるため、パッチ管理だけでは止まりません。
誤解3:従来型ウイルス対策ソフトで十分
パターンファイル型のEPPは既知マルウェアに強い一方、ファイルレス攻撃やLiving off the Land、つまりOS標準機能の悪用を見逃す場合があります。PowerShell、cmd.exe、mshta、wscriptが通常と違う親プロセスから起動したら、EDRで挙動として検知する設計が必要です。
情シスがやってはいけない運用
社用PCを一般ユーザーに管理者権限付きで配布し、PowerShell実行ポリシーを未制限のままにする運用は避けるべきです。GPO、AppLocker、Windows Defender Application Controlを使い、一般ユーザーでのPowerShell、WScript、Cscript、mshtaの実行を制限します。例外が必要な部門は許可リスト方式にし、例外申請とログ監査をセットで運用します。
感染したか確認する方法
不審なプロセスの稼働やバックグラウンド通信の異常検知が感染を見破る鍵となる。
PCの確認チェックリスト
ドライブバイダウンロード 確認では、画面上の警告よりも端末内部の挙動を見る必要があります。インフォスティーラーは利用者に気づかれないように動くためです。
プロセス確認:Windowsはタスクマネージャー、Macはアクティビティモニタを開き、PowerShell.exe、cmd.exe、wscript.exe、osascript、Terminalが意図せず動いていないか見る。
通信確認:リソースモニターやEDR管理画面で、海外IP、見慣れないドメイン、深夜帯の大量通信を確認する。
ブラウザ確認:覚えのない拡張機能、検索エンジン変更、不審な通知許可、保存パスワードの不正利用履歴を確認する。
一時ファイル確認:Tempフォルダやダウンロードフォルダに、ランダム文字列のexe、js、vbs、lnk、pkgが生成されていないか確認する。
アカウント確認:Microsoft 365、Google Workspace、VPN、SaaSのログイン履歴に国外や不審端末がないか確認する。
スマホの確認チェックリスト
スマホでは、アプリ一覧と端末管理設定を優先して見ます。iPhoneは設定のVPNとデバイス管理、Androidは端末管理アプリ、ユーザー補助権限、不明なアプリのインストール許可を確認します。通信量の急増、異常発熱、バッテリー消耗、見覚えのない広告表示が続く場合は、業務アカウントのパスワード変更と端末隔離を同時に行います。
感染に遭った場合の初動対応
マルウェア感染時は、即時のネットワーク隔離とログ保全が被害拡大防止の最優先事項である。
最初の15分で通信を止める
感染が疑われるPCはLANケーブルを抜き、Wi-Fiをオフにします。スマホは機内モードにします。シャットダウンや初期化を急ぐと、揮発性ログや攻撃痕跡が消えるため、情シスの指示があるまで端末状態を保全します。
1時間以内にアカウントを守る
別の安全な端末から、業務SaaS、メール、VPN、管理者アカウントのパスワードを変更し、セッションを強制サインアウトします。Cookie窃取型のインフォスティーラーでは、パスワード変更だけでなく既存セッションの無効化が必要です。
24時間以内に範囲を特定する
EDR、プロキシ、DNS、IdP、メール監査ログを突き合わせ、同じURLにアクセスした端末、同じコマンドを実行した端末、同じC2通信を行った端末を洗い出します。自己判断で不審ファイルを削除せず、フォレンジックに必要な証跡を残します。
法人・個人で実践すべきセキュリティ対策
侵入を防ぐゲートウェイ対策と侵入後を検知するエンドポイント対策の両輪が必須である。
企業規模別の対策ロードマップ
ドライブバイダウンロード 対策は、企業規模によって優先順位が変わります。50名未満なら更新と教育、50〜300名なら端末管理と改ざん検知、300名超ならEDRとSWGを軸にします。
規模 | 最優先課題 | 実施する対策 |
|---|---|---|
50名未満 | 更新漏れと従業員判断への依存 | OS・ブラウザ自動更新を強制し、ClickFixでWin + Rやコマンド貼り付けを求められたら100%詐欺と教育する。 |
50〜300名 | 端末数増加による把握漏れ | MDMでパッチ状況を一元管理し、AdminaのようなIT資産管理の考え方でSaaS・端末・利用者を棚卸しする。自社サイトにはWAFと自動改ざん検知を導入する。 |
300名超 | 社外端末と直接インターネット接続 | SWG、DNSフィルタリング、ブラウザ分離、EDR/MDRを組み合わせ、ゼロトラスト前提で通信と端末挙動を監視する。 |
国内企業の導入事例
製品導入は万能薬ではありませんが、実行制御、EDR、MDRを組み合わせる企業が増えています。
企業・組織 | 導入製品 | 課題 | 施策と成果 |
|---|---|---|---|
株式会社タニタ、株式会社ツムラ | Trend Vision One / Trend Service One | 標的型攻撃や未知マルウェアの早期検知 | EDRで端末挙動を可視化し、MDRによる24時間365日の監視・初動支援体制を整備。 |
鳥取県生活協同組合 | LANSCOPE マネージドEDR | 専任担当者を多く置けない中でのランサムウェア対策 | EDR運用をマネージド化し、検知後の調査・隔離判断を外部専門家と分担。 |
JFEスチール株式会社、株式会社JTB、株式会社荏原電産 | AppGuard | 未知マルウェアや制御端末の保護 | 不審なプロセス起動やファイル改ざんを実行段階で抑止し、感染しても発症させにくい構成を採用。 |
個人とWeb管理者が実施すること
個人は、ブラウザ更新、広告ブロック、正規ストア利用、パスワードマネージャーと多要素認証を徹底します。Web管理者はCMS、プラグイン、管理画面の多要素認証、WAF、改ざん検知、バックアップ復旧手順を定期的に確認します。自社サイトが踏み台になると、訪問者だけでなく企業信用も失います。
よくある質問
Q:ドライブバイダウンロードに感染したか確認する方法は?
A:タスクマネージャーでPowerShell.exeやcmd.exeなどの不審なプロセスを確認し、EDRや通信ログで見慣れない外部通信を調べます。あわせて、SaaSやメールのログイン履歴に国外IPや未知の端末がないか確認します。
Q:スマホでもドライブバイダウンロードの被害に遭いますか?
A:はい、iPhoneやAndroidでも被害に遭う可能性があります。OS更新の放置、不審なプロファイル、正規ストア外アプリ、偽アップデート画面が主な入口になります。
Q:ClickFix攻撃に遭ったと気づくサインは?
A:Webサイト上のCAPTCHAやエラー画面が、Win + R、PowerShell、ターミナル、コマンド貼り付けを求めた場合はClickFixのサインです。正規の認証画面がOSコマンドの実行を求めることはありません。
Q:ドライブバイダウンロードと水飲み場攻撃の違いは?
A:ドライブバイダウンロードは閲覧だけで感染させる手法を指します。水飲み場攻撃は、特定の業界や企業がよく使うサイトを改ざんして待ち伏せる標的型攻撃です。
Q:会社ではまず何から対策すべきですか?
A:50名未満ならOS・ブラウザ自動更新とClickFix教育を最優先にします。50名を超えたらMDMやIT資産管理で更新状況を可視化し、300名超ではEDRとSWGを導入します。
まとめ
ドライブバイダウンロードは、正規サイト閲覧、検索広告、偽CAPTCHA、スマホの不審プロファイルなど、日常業務の中に入口があります。明日からの一歩は、社用PCの更新状況を棚卸しし、PowerShellなどの実行制限とClickFix教育を同時に始めることです。感染を前提に、ログを残し、早く検知できる体制を整えましょう。
本記事の内容に誤り等がございましたら、こちらからご連絡ください。
監修
Admina Team
情シス業務に関するお役立ち情報をマネーフォワード Adminaが提供します。
SaaS・アカウント・デバイスの管理を自動化し、IT資産の可視化とセキュリティ統制を実現。
従業員の入退社対応や棚卸し作業の工数を削減し、情報システム部門の運用負荷を大幅に軽減します。
中小企業から大企業まで、情シス・管理部門・経営層のすべてに頼れるIT管理プラットフォームです。




