その「私はロボットではありません」は本物？　マルウェア感染狙う“偽CAPTCHA”出現　米Microsoftが注意喚起

Webサイトにログインしようとすると時折表示される「私はロボットではありません」の画面。不正アクセス防止を目的としたCAPTCHAの一種だが、この仕組みを偽装してユーザーのクリックを誘い、Windowsをマルウェアに感染させようとする手口が横行しているという。

「ClickFix」と呼ばれるこの手口では、普段利用しているサービスのログイン画面に見せかけた詐欺サイトにユーザーを誘導し、不正プログラムと人間のユーザーを見分ける目的で使用される「私はロボットではありません」を装うボタンを表示する。ユーザーがこのボタンをクリックすると、確認のためと称して次のようなキーボード操作を求められる。

（1）Windowsボタンと「R」を押す

（2）「CTRL」と「V」を押す

（3）「Enter」を押す

　（1）の手順ではWindowsの「ファイル名を指定して実行」のウィンドウを表示し（2）の手順で不正サイトの仮想クリップボードからコピーした悪質なコードをペースト。（3）のEnterキーを押してしまうとマルウェアが実行される。

　米Microsoftによると、この手口は2024年12月に旅行予約サイトの「Booking.com」を装うフィッシング詐欺に利用されているのが見つかった。この攻撃は25年2月時点でも続いているといい、ユーザーが画面の指示に従うとパスワードなどの情報を盗み出すマルウェアに感染し、アカウントを乗っ取られたり決済情報を盗まれたりする恐れがある。

Booking.comを狙った詐欺では、主に旅行関連の企業や個人が標的にされているという。例えば「宿泊設備やスタッフの接し方の問題に関するフィードバックが投稿されました」という通知メールや「宿泊を検討していますが、口コミを見て少し心配しています」といった客からの問い合わせを装った詐欺メールをホテルなどの担当者に送付。リンクや添付ファイルをクリックするよう仕向ける。

　これをクリックするとBooking.comに見せかけた不正サイトに誘導され、ClickFixの手口でマルウェアをインストールさせる仕組み。

　サイバーセキュリティジャーナリスト、ブライアン・クレブズさんのWebサイト「KrebsOnSecurity」によれば、Booking.comを利用している宿泊施設のアカウントが乗っ取られ、ホテルを予約した利用客にそのアカウント経由で決済情報の提供を求める詐欺メールが送信される被害も発生しているという。

GoogleやFacebookのエラーページ装う手口も

　Microsoftによると、こうした攻撃を仕掛けているのは「Storm-1865」と呼ばれるサイバー犯罪集団で、23年ごろから詐欺の手口を進化させ、件数も増大している。狙われているのは旅行業界にとどまらない。

　サイバーセキュリティ企業の米Arctic Wolfは、ヘルスケア業界を狙ったClickFixの手口を確認したと伝えた。理学療法士などの専門家がリハビリを指導する「HEP2go」のサイトにアクセスしようとしたところ、不正サイトにリダイレクトされ、偽の「私はロボットではありません」画面が表示されたという報告が2月下旬から相次いでいるという。こちらもBooking.comと同じ手口でマルウェアをインストールさせようとしていた。

　米保健社会福祉省は24年10月の時点で、Google ChromeやFacebookなどのエラーページに見せかけて「Fix it」のボタンをクリックさせるClickFixの手口に注意を促していた。他にもゲームやPDF閲覧ソフト、Zoomアプリなどを探そうとするユーザーを標的にしている可能性があるという。

　ClickFixの手口は一般的なマルウェア感染の手口と比べて不審な印象を抱かれにくく、ユーザーに操作させることでWebブラウザなどに実装されている通常のセキュリティ対策をすり抜けてしまいやすい。MicrosoftやArctic Wolfは、こうした詐欺の手口を見抜けるよう、従業員のトレーニングに力を入れる必要性を指摘している。

増加する「ClickFix」攻撃とは？　ショートカットキーなどを押させる指示に注意

Webサイト上で特定のショートカットキーなどの実行を求める「ClickFix（クリックフィックス）」攻撃が増加しているとして、日経新聞が報じるなど関心が高まっています。

典型的な例では、画面に指示が表示された時点でクリップボードに悪意のあるコマンドがセットされており、「貼り付けて実行するだけ」の状態になっています。これを実行してマルウェアに感染すると、気付かないうちに情報を盗み出されたり、第三者への攻撃に加担したりする恐れがあります。

ココがポイント

「コピペしたら感染」新手サイバー攻撃「ClickFix」の大増加に日経が警鐘を鳴らす…専門家による注意喚起も

出典：Togetter (トゥギャッター)　2025/8/14(木)

画面の手順通りにユーザが操作するとクリップボードにコピーさせられた内容が実行され、マルウェア感染などの被害に遭います

出典：LAC WATCH　2025/5/19(月)

コマンドを実行させるものに加え、ファイルエクスプローラーのアドレスバーにコマンドを入力させるパターンも出現

出典：東洋経済オンライン　2025/8/1(金)

エキスパートの補足・見解

ClickFixに引っかかる理由の1つとして考えられるのが「CAPTCHA」の存在です。Webサイトへのログイン時などに、「歪んだ文字の解読」や「パズルの当てはめ」といった意味のない作業を求められることがあります。こうした指示に従うことに慣れた人が、画面の指示に従ってショートカットキーを押している可能性があるわけです。

仕組み的にはWindowsやMacに標準で用意された機能を利用しており、脆弱性を突いたものではありません。どちらかといえば「人間の脆弱性」を狙った攻撃であり、むしろ厄介といえるかもしれません。

最近話題となっている証券口座を狙った不正取引にも悪用されたとの見方があります。たとえ意図的ではなかったとしても、利用者自身でコマンドを実行している以上、金銭的な被害が生じた場合に補償を受けられるかどうかは分かりません。

スマホに比べて自由度の高いパソコンは、使いこなせば強力なツールになるものの、リスクもあります。自分のパソコン操作がどのような影響を及ぼすのか、しっかり理解しながら使う必要がありそうです。

不正な操作指示、感染狙う　「キー同時押し」にご注意

「私はロボットではありません」。そんな確認の手続きを装って利用者本人に不正なパソコン操作をさせ、気付かないうちにコンピューターウイルスに感染させるサイバー攻撃「クリックフィックス」が急増している。複数のキーを同時に押して特定の操作を実行させる「ショートカットキー」を指示されるのが特徴だ。

　クリックフィックスは詐欺メールのほか、ネット検索やSNSなどサイバー犯罪者に改ざんされたサイトや偽サイトから誘導されて被害に遭う。「あなたはロボットではありませんか」など、自動プログラムではないことの確認画面で、複数のキーを同時に押す操作を指示され、その通りに操作するとウイルスをダウンロードし、感染させられる。クレジットカードの番号など重要な情報を盗まれる恐れがある。

　三井物産セキュアディレクションの吉川孝志氏は「本人が操作するため、セキュリティーソフトで防げない場合もある。被害が拡大しており、人間かどうかの確認でショートカットキーを使った操作を指示されたら従わないよう注意してほしい」としている。