「私はロボットではありません」ウェブ画面に現れるボタンクリックしたら…「マルウェア起動」でPC・スマホを乗っ取る「ニセ認証手口」

2025年10月08日 10:00

　ウェブサイトでログインしようとした際に表示される「私はロボットではありません」。AIやボットによる不正アクセスを防ぐための仕組みとしておなじみだが、その安心感が今、狙われている。
　警視庁が10月１日に発表した「サイバーポリス通信Vol.7」によると、この認証画面を装ったサイバー攻撃「ClickFix（クリックフィックス）」による被害が、国内で急増しているという。

　手口はこうだ。まず偽のメールや広告リンクを通じて、旅行予約サイトや通販サイトを装った詐欺ページに誘導。そこで表示されるのが「私はロボットではありません」と書かれたボタンだ。ユーザーがクリックすると「確認のため」と称して次のような手順を求められる。
（1）Windowsキー＋Rを押す
（2）Ctrl＋Vで貼り付け
（3）Enterキーを押す

　実はこれが巧妙な罠なのだ。攻撃者が仕込んだ不正なプログラムを「ファイル名を指定して実行」機能に流し込み、マルウェアを起動させてしまう仕組みになっている。感染すると保存されたIDやパスワード、クレジットカード情報などが外部に送信され、アカウント乗っ取りや個人情報流出の危険にさらされる。

　この攻撃は2024年12月に海外で初めて確認され、旅行サイトを装ったフィッシング詐欺が発端とされている。2025年に入ってからは日本国内でも同様の偽装サイトが複数確認されており、警視庁は「正規の『私はロボットではありません』画面でキーボード操作を求めることは絶対にない」と警告。画面上で「実行」や「貼り付け」といった指示が出た場合はその場で操作を中止し、ブラウザを閉じるよう呼びかけている。

　感染を防ぐには、ウイルス対策ソフトやOSを常に最新の状態に保つこと、不審なメールやSNSのリンクを不用意に開かないことは基本中の基本だ。見慣れた認証画面であっても、わずかな油断が感染の引き金になる。「私はロボットではありません」…そのワンクリックが、あなたのパソコンを乗っ取るトリガーになるかもしれない。

（ケン高田）

全文を読む

カテゴリー: