時事ネタ
警察庁も注意喚起!「私はロボットではありません」偽物を見分ける3つのチェックリスト
普段何気なくクリックしている「私はロボットではありません」の認証画面。その1クリックが、個人情報流出のきっかけになるかもしれません。
今、この認証画面を巧妙に偽装し、利用者自身の手でマルウェアを実行させる「ClickFix(クリックフィックス)」という新手のサイバー攻撃が急増しています。警察庁も2025年10月に注意喚起を発表しており、本物そっくりの画面で「WindowsキーとRを押してください」などと指示され、従ってしまうとパソコン内のID・パスワード、写真などが流出する恐れがあります。
本記事では、偽物を見分けるポイント、被害に遭いやすい人の特徴、万が一操作してしまった場合の緊急対応までを解説します。
被害に遭いやすい人の特徴3つ
ClickFix詐欺は、特定の傾向を持つ人が被害に遭いやすいことが分かっています。以下に該当する場合は、特に注意が必要です。
1. 認証画面に慣れすぎている人
日常的にインターネットを利用し、CAPTCHA認証を何度も経験している人ほど、画面を深く確認せずに操作してしまう傾向があります。「いつもの画面だ」という慣れが、判断力を鈍らせる原因となっています。
2. 指示通りに操作することに抵抗がない人
「システムからの指示だから従うべき」と考え、表示された手順をそのまま実行してしまう人は危険です。本物の認証画面では、キーボードのショートカットキー操作を求められることは基本的にありません。
3. セキュリティ警告を読み飛ばしがちな人
ブラウザやセキュリティソフトからの警告メッセージを、内容を確認せずに閉じてしまう習慣がある人も注意が必要です。警告は、不審なサイトを検知した際に表示される重要なサインである場合があります。
【今すぐ確認】本物と偽物の見分け方チェックリスト
以下のチェックリストで、表示されている認証画面が本物かどうかを確認できます。1つでも該当すれば、偽物の可能性が高いと判断してください。
偽物の認証画面に共通する特徴
・「Windowsキー+R」を押すよう指示される→ 本物では絶対にない指示
・「Ctrl+V」でコードを貼り付けるよう指示される→ 本物では絶対にない指示
・「Enter」を押して実行するよう指示される→ 認証完了に不要な操作
・URLが正規サイトと異なる(微妙なスペルミスや余計な文字列がある)
・メールやSNS経由で突然表示された
・画像選択やパズルなどの通常の認証ステップがない
本物の認証画面の特徴
・チェックボックスをクリックするだけで完了する
・画像選択(「信号機を選んでください」など)が表示される
・パズルをスライドさせるなどの操作を求められる
・キーボードのショートカットキー操作は一切求められない
ClickFix(クリックフィックス)とは?攻撃の仕組みを解説
ClickFix詐欺の仕組みを理解しておくことで、被害を未然に防ぐことができます。ここでは、攻撃の流れと特徴を解説します。
見慣れた認証画面を装った巧妙なサイバー攻撃
「ClickFix(クリックフィックス)」とは、ウェブサイトで頻繁に見かける不正アクセス防止のための認証画面「私はロボットではありません(reCAPTCHA)」を偽装し、利用者をマルウェア(悪意のあるソフトウェア)に感染させようとする新しいサイバー攻撃の手口です。警察庁のサイバー警察局も2025年10月に注意喚起を発表しており、国内での被害が増加しています。
出典:警察庁 サイバー警察局便り2025 Vol.7「「私はロボットではありません」偽画面に注意!」
ClickFixの最大の特徴と危険性
従来のフィッシング詐欺と異なり、ClickFixの最大の特徴は、「利用者自身に悪質なプログラムを実行させてしまう」点にあります。正規の認証作業だと思い込ませ、利用者にキーボード操作を指示することで、セキュリティ対策をすり抜けやすくしているのが特徴です。これにより、パソコンに保存されているID・パスワードなどの個人情報や、写真などのデータが流出する恐れがあります。
ClickFix攻撃の具体的な手口(マルウェア実行の手順)
攻撃者がどのような手順で利用者を騙すのかを具体的に解説します。手口を知っておくことが、被害防止の第一歩となります。
詐欺サイトへの誘導と偽の認証画面
攻撃者は、フィッシングメールやSNSなどを利用し、普段使っているサービス(例:旅行予約サイト「Booking.com」など)のログイン画面に酷似した詐欺サイトへ誘導します。この偽サイトに、不正なプログラムが仕込まれた「私はロボットではありません」と装うボタンが表示されます。
巧妙に仕組まれたキーボード操作の指示
利用者が偽のボタンをクリックすると、「確認のため」と称して、以下のような複数のキーボード操作(ショートカットキー)を指示してきます。これが、悪質なコードをパソコン内で実行させるための手順です。
・Windowsボタンと「R」を押す:Windowsの「ファイル名を指定して実行」ウィンドウを表示させる
・「CTRL」と「V」を押す:不正サイトの仮想クリップボードにコピーされた悪質なコード(マルウェアを実行する命令文)を、「ファイル名を指定して実行」ウィンドウに貼り付ける
・「Enter」を押す:貼り付けられた悪質なコードが実行され、マルウェアに感染してしまう
本物の認証画面でこのような複数のキー操作を求められることは基本的にありません。この「日常的になじみのある操作に似ている」点が、利用者が疑問を持たずにクリック・操作してしまう原因となっています。
ClickFix詐欺から身を守るための具体的な対策
ClickFix詐欺の被害を防ぐために、今すぐ実践できる対策を紹介します。日頃からの心がけが、情報流出を防ぐ鍵となります。
「キー操作の指示」が出たら即座に疑う
「私はロボットではありません」の認証画面で、WindowsキーやCtrlキーなど複数のキーを同時に押すような操作(ショートカットキー)を求められた場合は、ClickFix攻撃であると強く疑い、絶対にその指示に従わないでください。本来のreCAPTCHA認証は、画像選択やパズルなどで人間かBOTかを判別する仕組みです。
不審な画面が表示された場合の対処法
・ブラウザを閉じる:キー操作の指示が出た時点で、すぐにブラウザを閉じましょう
・正規サイトか確認:安易に指示に従う前に、URLを確認し、アクセスしているサイトが正規のものであるかをチェックしましょう
・安易にリンクをクリックしない:メールやSNSに記載された不審なリンクはクリックしないようにしましょう
万が一操作してしまった場合の緊急対応
もし指示通りにキー操作をしてしまった場合は、被害を最小限に抑えるため、以下の手順で迅速に対応してください。
・インターネット接続をすぐに切断する
・パソコンに保存している全てのパスワードを変更する
・クレジットカードの利用停止手続きを行う
・警察庁のサイバー事案に関する相談窓口などに相談する
日頃からできるセキュリティ対策
・OSやソフトウェアを常に最新の状態に保つ:セキュリティソフト、ブラウザ、OSに最新のアップデートを適用しましょう
・セキュリティソフトを導入する:Windows標準の「Windows Defender」など、ウイルス対策ソフトの導入は必須です。ただし、ClickFixのような複雑な攻撃では検知できないこともあるため、対策ソフトがあるからと過信せず、常に警戒することが重要です
その他の関連するサイバー攻撃への対策
ClickFix以外にも、類似の手口を使ったサイバー攻撃が存在します。併せて対策を確認しておきましょう。
SNSアカウント乗っ取りの手口と対策
ClickFixとは別に、知人を装ったダイレクトメッセージで携帯電話番号を教えるよう誘導し、送られてきた確認コード(ワンタイムパスワード)を送信させることで、SNSアカウントが乗っ取られる被害も増加しています。乗っ取りを防ぐためには、以下の対策が有効です。
・パスキー認証(生体認証)を設定する:パスワードに代わる、より安全なログイン方法です。対応しているサービスでは設定しましょう
・パスワードを見直す:使い回しはせず、サービスごとに長く推測されにくい独自のパスワードを設定しましょう
・不審なリンクや要求は無視し、確認する:友人や親戚からのメッセージでも、不審なリンクや個人情報を要求されたら、他の連絡手段(LINEや電話など)で本人に事実を確認しましょう
出典:警察庁 サイバー警察局便り2025 Vol.5「SNS等のアカウントの乗っ取りに警戒を!!」
まとめ
「私はロボットではありません」の認証画面を悪用したClickFix詐欺は、日常的な操作に潜む新たな脅威です。認証画面でキーボードのショートカットキー操作を求められた場合は、100%詐欺だと判断してください。
被害を防ぐためのポイントは以下の3つです。
・「Windows+R」「Ctrl+V」などのキー操作指示には絶対に従わない
・不審な画面が表示されたらすぐにブラウザを閉じる
・万が一操作してしまったら、ネット接続を切断し、パスワード変更と相談窓口への連絡を行う
日頃から手口を知り、冷静に対処することが、大切な情報を守る最善の方法となります。
本記事は、CFP資格保有者であり、J-FLEC認定アドバイザーの金子賢司が執筆しています。当記事の執筆者「金子賢司」の情報は、CFP検索システムおよびJ-FLECアドバイザー検索システムにてご確認いただけます。北海道エリアを指定して検索いただくとスムーズです。
