ErrTraffic v2は、多数の利用者を高確率でマルウェア感染させる「偽エラー(ClickFix)」型ソーシャルエンジニアリング攻撃を産業化したツールです。GUI操作を模倣してユーザーを騙し、感染と情報窃取を同時に進行させる点で、従来のClickFix以上に高度な脅威といえます。
認証情報の窃取、端末の乗っ取り、組織内ネットワークへの横展開など、影響は端末単体にとどまらず、組織全体に波及するリスクがあります。さらに、誤操作に見せかけたコマンド実行や、環境適応型マルウェアの配布など、セキュリティ製品の検知をすり抜ける構造も報告されています。
本記事では、ErrTraffic v2の概要とClickFixとの関係、実際に起こりうる被害、組織側が取るべき対応の方向性を具体的に解説します。
目次
ErrTraffic v2とは
ErrTraffic v2は、2025年12月にロシア語圏のサイバー犯罪フォーラムで存在が確認されたツールで、ClickFix型の攻撃(偽のエラー表示からユーザー操作を誘導し、マルウェアを展開する手法)をより汎用的かつ自動化された形で提供します。
GUI操作を自動で模倣するわけではなく、偽のエラー画面と操作指示を生成し、ユーザー自身に「コピーして貼り付けて実行させる」という点が最大の特徴です。これにより、EDRやアンチウイルスの振る舞い検知をすり抜けやすくなっており、誤検知のまま放置されるケースが増えています。
また、アクセスしてきたユーザーのOSを自動で判別し、OSごとに異なるマルウェアをダウンロード・実行させる「環境適応型」の攻撃が可能である点も大きな脅威です。
※ClickFixの仕組みや初期段階の攻撃内容については、以下の記事にご覧ください。
>>ClickFix(クリックフィックス)とは?仕組みと対策を徹底解説
GUI誘導型の攻撃であるため、EDRなどでは見逃されることもあります。以下のような兆候が見られた場合、感染の可能性が高いため注意が必要です。
- PC起動直後にポップアップが出る
- 一時的にWin+RやPowerShellが自動で開いた
- 最近操作していないのに、インターネット使用量が急増している
不安がある場合は、「操作しないで現状維持」が鉄則です。ログが残っているうちに、専門調査の依頼を検討してください。
ErrTraffic v2の主な特徴
ErrTraffic v2は、ClickFixの典型的な手口である「エラー画面+操作指示」の流れを、誰でも簡単に再現できるよう設計された攻撃ツールです。特に以下の3点が、従来型攻撃と比較して脅威を拡大させる要因となっています。
800ドル前後で販売される低価格サービス
ErrTraffic v2は、ロシア語圏の犯罪フォーラムなどで約800ドルで取引されており、犯罪者にとって参入障壁が極めて低い「攻撃SaaS」です。GUI付きのダッシュボードや感染数・成功率などの統計機能が提供されており、初心者でも短時間で大規模な感染キャンペーンを展開可能とされています。
GUI誘導スクリプトの自動生成と高い感染率
このツールは、ブラウザ上に「文字化け」「システムフォントエラー」「Chromeの更新失敗」などを装った偽エラー画面を表示し、ユーザーに特定のショートカット操作(例:Win+R → Ctrl+V → Enter)を実行させるスクリプトを自動生成します。
実際の感染キャンペーンにおいては、この手口で約60%のユーザーが実行まで至ったとされており、従来のフィッシングよりも圧倒的に高い成功率を記録しています。
端末環境に応じたマルウェアの最適配布
ErrTraffic v2は、アクセス元のOS(Windows/macOS/Linux/Android)を自動判別し、環境ごとに最適なマルウェア(インフォスティーラー、RAT、バンキング型トロイなど)を配布する「環境適応型」の挙動が確認されています。
これにより、1つの偽ページや改ざんで幅広い端末を一斉に狙うことが可能となり、感染の規模とスピードが大きく向上します。
とくに注意すべきは、配布される多くが「インフォスティーラー」と呼ばれる情報窃取型マルウェアである点です。ブラウザに保存されたID・パスワードやCookie、ウォレット情報などが外部に送信される恐れがあります。
>【2025年最新版】インフォスティーラーとは?種類・悪用実態と対策を徹底解説
こうした情報漏えいは、MFAや監視ツールだけでは防ぎきれないケースもあり、特に法人環境では早期発見が重要です。感染が疑われる場合は、すでに情報が流出している前提で動くべきであり、フォレンジック調査やダークウェブ調査による早急な確認が推奨されます。
ErrTraffic v2によって想定される被害リスク
ErrTraffic v2による攻撃は、単に端末がマルウェアに感染するだけにとどまりません。認証情報の窃取、管理者アカウントの乗っ取り、社内ネットワークへの侵入、Webサイトの改ざんなど、企業の中核的資産にまで被害が及ぶ可能性があります。
認証情報の窃取とアカウント乗っ取り
ErrTraffic v2を通じて展開されるマルウェアの多くは、インフォスティーラ(情報窃取型)です。これにより、ブラウザに保存されたID・パスワード、クレジットカード情報、Cookie、ウォレット情報などが盗まれ、不正ログインやなりすまし被害につながります。
内部ネットワークへの横展開
感染端末から、同一ネットワーク内の他の端末やサーバへのアクセスが行われるケースもあります。管理者アカウントを経由した横展開により、ファイルサーバ・クラウド・VPN・業務アプリケーションが侵害される恐れがあります。
ログの削除・証拠の消失
GUI操作を模した偽装により、ユーザーが「自ら実行した」と見なされるため、通常のログ監視では不審な挙動と判別されにくい構造です。また、一部のスクリプトはイベントログの消去やタスクスケジューラの書き換えも行い、痕跡を消そうとする動きが確認されています。
Webサイト改ざんと信頼失墜
感染後に管理者アカウントを奪われると、自社Webサイトが攻撃の発信源に改ざんされ、訪問者がマルウェアに感染する二次被害につながることもあります。これにより、サービス停止やブランド毀損、対外的な謝罪対応など、経営リスクに直結する被害が発生する可能性があります。
情報の再利用・ダークウェブ拡散
盗まれた認証情報やCookieは、ダークウェブ上で売買されます。その後、全く別の攻撃者によってリサイクルされ、スピアフィッシングやランサムウェア攻撃、取引先を狙ったBEC(ビジネスメール詐欺)に悪用されることがあります。
EDR・監視製品による検知の回避
ブラウザ上のエラー演出とユーザー操作誘導という構造のため、EDR・アンチウイルスなどのエンジンからは「ユーザーが正規操作したように見える」振る舞いとして処理されることが多く、振る舞い検知型製品でも見逃される恐れがあります。
ErrTraffic v2の感染が疑われる場合の対処法
ErrTraffic v2は、ユーザーの操作に見せかけて感染を成立させるため、発覚が遅れがちで、ログや痕跡がすぐに消える可能性があります。
感染の疑いがある場合は、拡大防止と証拠保全を優先し、以下の対応を速やかに実施してください。
端末の隔離と現状維持
誤って再起動や削除を行うと、証拠や痕跡が失われる恐れがあります。状態を保ったまま、外部との通信を遮断してください。
- LANケーブルを抜く、またはWi-Fi/VPNを切断
- 端末の電源は切らず、再起動も控える
- NASやクラウド同期を一時停止
操作痕跡・ログの保全
画面表示や操作履歴など、GUI誘導型攻撃の証拠は早期に消えることがあります。目視・ログ両方の記録を残すことが重要です。
- 偽エラー画面や操作手順のスクリーンショット/録画
- イベントログ(PowerShell/cmd)、ブラウザ履歴の取得
- 取得ファイルにハッシュ値を付け、改ざん防止
感染範囲と通信の調査
盗まれた認証情報を悪用されると、他の端末やサービスにも波及する可能性があります。関連アカウントや通信先を重点的に確認します。
- 影響が懸念されるアカウントのログイン履歴を確認
- VPN/クラウドサービスなどのアクセスログを時系列で取得
- 不審な通信先や操作履歴があれば早期に隔離
専門業者への相談
ErrTraffic v2は、ユーザーが自発的に操作したように見せかけて感染を成立させるため、ログや操作痕跡が曖昧になりやすく、社内の対応だけでは感染経路や被害範囲を正確に把握するのが難しいケースも少なくありません。
また、EDRなどの検知ログが残っていたとしても、攻撃に紐づくマルウェアや情報流出先を明確に突き止めるには、専門的な技術と専用環境による分析が必要です。
感染の有無・流出したデータの種類・社内での横展開リスク・ダークウェブ上での情報流通の有無といった重要な判断材料を得るには、ディープフォレンジック調査とダークウェブ調査を組み合わせた対応が推奨されます。
ErrTraffic v2の感染したかどうか解明したい場合フォレンジック調査が有効
サイバー攻撃、不正アクセス、マルウェア感染のような問題が発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があります。適切な調査によって原因究明を行うためにも、フォレンジック調査の専門家に相談することが重要です。
特に、法的手続きが絡むケースや被害が広範囲に及ぶ場合は、専門家の力を借りることで被害の最小化と信頼性の高い証拠の収集が可能です。
>情報漏えい時の個人情報保護委員会への報告義務とは?詳しく解説
当社では、インシデント対応のプロが初動対応から、専門設備でのネットワークや端末の調査・解析、調査報告書の提出、ならびに報告会によって問題の解決を徹底サポートします。
フォレンジックサービスの流れや料金については下記からご確認ください。
【初めての方へ】フォレンジックサービスについて詳しくご紹介
【サービスの流れ】どこまで無料? 調査にかかる期間は? サービスの流れをご紹介
【料金について】調査にかかる費用やお支払方法について
【会社概要】当社へのアクセス情報や機器のお預かりについて
デジタルデータフォレンジックの強み
デジタルデータフォレンジックは、迅速な対応と確実な証拠収集で、お客様の安全と安心を支える専門業者です。デジタルデータフォレンジックの強みをご紹介します。
累計相談件数47,431件以上のご相談実績
官公庁・上場企業・大手保険会社・法律事務所・監査法人等から個人様まで幅広い支持をいただいており、累積47,431件以上(※1)のご相談実績があります。また、警察・捜査機関から累計409件以上(※2)のご相談実績があり、多数の感謝状をいただいています。
(※1)集計期間:2016年9月1日~
(※2)集計機関:2017年8月1日~
国内最大規模の最新設備・技術
自社内に40名以上の専門エンジニアが在籍し、17年連続国内売上No.1のデータ復旧技術(※3)とフォレンジック技術でお客様の問題解決をサポートできます。多種多様な調査依頼にお応えするため、世界各国から最新鋭の調査・解析ツールや復旧設備を導入しています。
(※3)第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2023年)
24時間365日スピード対応
緊急性の高いインシデントにもいち早く対応できるよう24時間365日受付しております。
ご相談から最短30分で初動対応のWeb打合せを開催・即日現地駆けつけの対応も可能です。(法人様限定)自社内に調査ラボを持つからこそ提供できる迅速な対応を多数のお客様にご評価いただいています。
デジタルデータフォレンジックでは、相談から初期診断・お見積りまで24時間365日体制で無料でご案内しています。今すぐ専門のアドバイザーへ相談することをおすすめします。
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
