インターネットを利用していると、誰もが一度は目にする「私はロボットではありません（reCAPTCHA）」の認証画面。これは私たちが不正なプログラム（BOT）ではないことを証明するための、おなじみのセキュリティ機能です。しかし今、この「見慣れた画面」を逆手に取り、利用者を巧妙にだましてマルウェアに感染させる「ClickFix（クリックフィックス）」という新手のサイバー攻撃が急増しています。

この手口の恐ろしいところは、認証のために「WindowsキーとRを押す」といった、普段のパソコン操作に近い指示をユーザー自身に出させ、自らの手で悪質なコードを実行させてしまう点にあります。正規の認証作業だと思い込んで指示に従ってしまうと、個人情報が抜き取られるなどの深刻な被害に遭う可能性があります。

本記事では、この「ClickFix」の手口が具体的にどのようなものかを詳しく解説するとともに、万が一に備えて私たちが取るべき具体的な対策をまとめました。あなたやあなたの大切な情報を守るために、ぜひ最後までご確認ください。

マルウェア感染を狙う偽CAPTCHA「ClickFix（クリックフィックス）」とは

・見慣れた認証画面を装った巧妙なサイバー攻撃

「ClickFix（クリックフィックス）」とは、ウェブサイトで頻繁に見かける不正アクセス防止のための認証画面「私はロボットではありません（reCAPTCHA）」を偽装し、ユーザーをマルウェア（悪意のあるソフトウェア）に感染させようとする新しいサイバー攻撃の手口です。この手口は昨年海外で確認され、今年に入って日本国内での被害が急増しており、セキュリティ会社が強く注意を呼びかけています。

・ClickFixの主な特徴と危険性

従来のフィッシング詐欺と異なり、ClickFixの最大の特徴は、「利用者自身に悪質なプログラムを実行させてしまう」点にあります。正規の認証作業だと思い込ませ、利用者にキーボード操作を指示することで、セキュリティ対策をすり抜けやすくしています。これにより、パソコンに保存されているID・パスワードなどの個人情報や、写真などのデータが流出する恐れがあります。

---

ClickFix攻撃の具体的な手口（マルウェア実行の手順）

・詐欺サイトへの誘導と偽の認証画面

攻撃者は、フィッシングメールやSNSなどを利用し、普段使っているサービス（例：旅行予約サイト「Booking.com」など）のログイン画面に酷似した詐欺サイトへ誘導します。この偽サイトに、不正なプログラムが仕込まれた「私はロボットではありません」と装うボタンが表示されます。

・巧妙に仕組まれたキーボード操作の指示

ユーザーが偽のボタンをクリックすると、「確認のため」と称して、以下のような複数のキーボード操作（ショートカットキー）を指示してきます。これが、悪質なコードをパソコン内で実行させるための手順です。

・Windowsボタンと「R」を押す：Windowsの「ファイル名を指定して実行」ウィンドウを表示させる。

・「CTRL」と「V」を押す：不正サイトの仮想クリップボードにコピーされた悪質なコード（マルウェアを実行する命令文）を、「ファイル名を指定して実行」ウィンドウに貼り付ける。

・「Enter」を押す：貼り付けられた悪質なコードが実行され、マルウェアに感染してしまう。

セキュリティ専門家によると、本物の認証画面でこのような複数のキー操作を求められることは基本的にありません。この「日常的になじみのある操作に似ている」点が、利用者が疑問を持たずにクリック・操作してしまう最大の脅威となっています。

---

ClickFix詐欺から身を守るための具体的な対策

・「キー操作の指示」が出たら即座に疑う

「私はロボットではありません」の認証画面で、WindowsキーやCtrlキーなど複数のキーを同時に押すような操作（ショートカットキー）を求められた場合は、ClickFix攻撃であると強く疑い、絶対にその指示に従わないでください。本来のreCAPTCHA認証は、画像選択やパズルなどで人間かBOTかを判別する仕組みです。

・不審な画面が表示された場合の対処法

・ブラウザを閉じる：キー操作の指示が出た時点で、すぐにブラウザを閉じましょう。

・正規サイトか確認：安易に指示に従う前に、URLを確認し、アクセスしているサイトが正規のものであるかをチェックしましょう。

・安易にリンクをクリックしない：メールやSNSに記載された不審なリンクはクリックしないようにしましょう。

・万が一操作してしまった場合の緊急対応

もし指示通りにキー操作をしてしまった場合は、被害を最小限に抑えるため、以下の手順で迅速に対応してください。

・インターネット接続をすぐに切断する。

・パソコンに保存している全てのパスワードを変更する。

・クレジットカードの利用停止手続きを行う。

・警察庁のサイバー事案に関する相談窓口などに相談する。

・日頃からできるセキュリティ対策

・OSやソフトウェアを常に最新の状態に保つ：セキュリティソフト、ブラウザ、OSに最新のアップデートを適用しましょう。

・セキュリティソフトを導入する：Windows標準の「Windows Defender」など、ウイルス対策ソフトはマストです。ただし、ClickFixのような複雑な攻撃では検知できないこともあるため、対策ソフトがあるからと過信せず、常に警戒しましょう。

---

その他の関連するサイバー攻撃への対策

・SNSアカウント乗っ取りの手口と対策

ClickFixとは別に、知人を装ったダイレクトメッセージで携帯電話番号を教えるよう誘導し、送られてきた確認コード（ワンタイムパスワード）を送信させることで、SNSアカウントが乗っ取られる被害も増加しています。乗っ取りを防ぐためには、以下の対策が有効です。

・パスキー認証（生体認証）を設定する：パスワードに代わる、より安全なログイン方法です。対応しているサービスでは設定しましょう。

・パスワードを見直す：使い回しはせず、サービスごとに長く推測されにくい独自のパスワードを設定しましょう。

・不審なリンクや要求は無視し、確認する：友人や親戚からのメッセージでも、不審なリンクや個人情報を要求されたら、他の連絡手段（LINEや電話など）で本人に事実を確認しましょう。

本記事は、CFP資格保有者であり、J-FLEC認定アドバイザーの金子賢司が執筆しています。当記事の執筆者「金子賢司」の情報は、CFP検索システムおよびJ-FLECアドバイザー検索システムにてご確認いただけます。北海道エリアを指定して検索いただくとスムーズです。