「私はロボットではありません」が罠?新型攻撃ClickFixの手口と対策

インターネットを使っていると見かける「私はロボットではありません」のチェック画面。実はこれを悪用した新型のサイバー攻撃「ClickFix（クリックフィックス）」が、2024年後半から日本国内で急増しています。警察庁は2025年10月1日に公式の注意喚起を発表しました。この記事では、ClickFixの手口、見分け方、もし押してしまった場合の対処法を、警察庁・金融庁・IPA（情報処理推進機構）の公的情報をもとに解説します。

1. ClickFix（クリックフィックス）とは何か

ClickFixとは、ウェブサイトに偽の「私はロボットではありません」確認画面（CAPTCHA・キャプチャ:人間か機械かを判別する認証画面）や偽のエラー画面を表示し、利用者自身に不正なコマンドを実行させてマルウェアに感染させる新しいサイバー攻撃の手口です。

従来のサイバー攻撃は、不審なファイルを勝手にダウンロードさせる手口が中心でした。しかしClickFixの最大の特徴は、利用者が「正しい操作をしている」と信じたまま、自分の手でマルウェアを実行してしまう点にあります。

なぜ「私はロボットではありません」が悪用されるのか

普段からウェブサイトを利用していると、「あなたは人間ですか?」「私はロボットではありません」といった確認画面（CAPTCHA）に出会うのは日常的なことです。多くの人が「いつものことだ」と疑わずに操作してしまうため、犯罪者にとって極めて成功率の高い手口になっています。

2. 警察庁が示す具体的な手口の流れ

警察庁が2025年10月1日に公開した「サイバー警察局便りR7 Vol.7」では、ClickFixの典型的な手口が次の流れで解説されています。

典型的な5つのステップ

1. メールやSNS、ネット広告などから誘導された先で、偽のCAPTCHA画面（「私はロボットではありません」のチェックボックス）が表示される
2. チェックボックスをクリックすると、裏で不正なコマンドが自動的にコピーされる（利用者には見えない）
3. 画面に「認証を完了するため、次の操作をしてください」と案内が表示される
4. 「Windowsキー + R」を押させ、Windowsの「ファイル名を指定して実行」画面を開かせる
5. 「Ctrl + V」で先ほどコピーされた不正コマンドを貼り付け、「Enter」キーで実行させる

この一連の操作を行った瞬間、パソコンに情報を盗むマルウェアがダウンロード・実行されてしまいます。

「ブラウザ更新」「フォント不足」を装う派生型もある

ClickFixには複数のパターンがあります。同じ警察庁の便りやセキュリティ各社の報告によると、以下のような派生型も確認されています。

• 「ブラウザのバージョンが古いため、ページを正しく表示できません」
• 「フォントが不足しています。修正してください」
• 「ページを正しく表示するには修復ボタンを押してください」
• Microsoft WordやGoogle Chromeの正規アップデートを装う画面

いずれも「修正」「更新」ボタンを押させ、その後CAPTCHA型と同じくキー操作を促してくる構造です。

3. 国内でも被害が急増中（公的データで見るリアル）

ClickFixがどれほど深刻な状況にあるかを、公的機関や主要メディアの最新データで確認します。

警察庁・警視庁が相次いで注意喚起

• 警視庁：2025年9月10日に注意喚起を公開
• 警察庁：2025年10月1日に「サイバー警察局便りR7 Vol.7」で公式注意喚起
• 米国CISA・FBI：2025年7月22日に合同アドバイザリ公開
• シンガポールCSA：2025年7月10日に注意喚起

各国当局が同時期に警戒を強めていることからも、世界規模で被害が広がっている状況がうかがえます。

日本国内の検出数は半年で9倍に

セキュリティ企業ESETの調査によると、ClickFixおよび類似の攻撃は2024年後半から2025年前半にかけて世界全体で約517%増加し、その中でも日本は世界で最も検出が多い国（全体の約23%）となっています。日本経済新聞の報道では、2024年12月から2025年5月のわずか半年間で、日本国内の検出数が約9倍に跳ね上がったとされています。

4. 感染するとどうなるか

ClickFixで感染させられるのは、主に「インフォスティーラー」と呼ばれる情報窃取型のマルウェアです。代表例として「Lumma Stealer」が報告されています。感染すると、利用者が気づかないうちに以下の情報が抜き取られる可能性があります。

盗まれる可能性がある情報

• ブラウザに保存されたID・パスワード
• クレジットカード番号・銀行口座情報
• 暗号資産ウォレットの認証情報
• メールやSNSのログイン情報
• 証券会社のログイン情報

関連する被害:証券口座への不正アクセス

ClickFixと同じくフィッシングやマルウェアでログイン情報を盗む手口は、証券口座の乗っ取り被害にもつながっています。金融庁の発表によると、2025年1月から5月までの集計（暫定値）で、不正アクセス件数は10,422件、不正取引件数は5,958件、不正な売却金額は約2,772億円、買付金額は約2,468億円に達しています。

ClickFixがすべての原因とは限りませんが、情報窃取型マルウェアによる被害がフィッシング攻撃と並ぶ大きな脅威になっていることは、金融庁・日本証券業協会・警察庁が一致して警告しています。

5. 「私はロボットではありません」が罠かを見分ける4つのポイント

本物のCAPTCHA認証と、ClickFixの偽画面には、注意深く見れば気づける違いがあります。

ポイント1:キー操作を要求してくる

本物のCAPTCHA認証は、チェックボックスを押すか、画像を選ぶ程度の操作しか求めません。「Windowsキー + R」「Ctrl + V」「Enter」といったキー操作を求めるCAPTCHAは、正規のサービスでは使われていません。

ポイント2:コピー&ペーストの指示がある

「以下のコマンドをコピーして貼り付けてください」「修復のためこの手順を実行してください」といった指示は、正規のサービスではほぼ行われません。大手のオンラインサービスが利用者にコマンドを直接実行させることはないと考えてください。

ポイント3:不自然な日本語や誤字脱字

海外の犯罪者が機械翻訳で作った画面の場合、不自然な言い回しや誤字脱字が含まれることがあります。「ようこそ」「修復ます」など、違和感のある日本語が混じっていたら要注意です。

ポイント4:URLに違和感がある

表示されているサイトのURLが、本来訪れたいサイトと違っていないか確認します。本物そっくりに見えても、よく見ると「o」が「0」になっていたり、不自然なドメイン名が混じっていたりします。

6. やってはいけない6つの行動

ClickFixで気をつけたい行動
① 「私はロボットではありません」のチェック後にキー操作の指示通りに押す
② 「Windowsキー + R」を押すよう指示されたら従う
③ 画面の指示通りに「Ctrl + V」「Enter」を押す
④ 「ブラウザのバージョンが古い」「フォントが不足」と表示されたら修復ボタンを押す
⑤ 不審なメールやSNSメッセージのリンクをタップする
⑥ 「エラーを修復するためこのコマンドを実行してください」という指示に従う

7. 押してしまった場合の対処手順

もしClickFixの指示通りに操作してしまった場合、すでにマルウェアに感染している可能性があります。被害を最小限にするため、以下の手順をできるだけ早く実行してください。警察庁とIPAが推奨する対処手順に基づいています。

対処1:すぐにネットワークから切断する

マルウェアは外部の指令サーバーと通信して情報を盗み出すため、まず通信を遮断します。有線LANケーブルを抜く、Wi-Fiをオフにするなどして、パソコンをインターネットから切り離してください。

対処2:別の安全な端末からパスワードを変更する

感染した可能性のあるパソコンを使ったまま操作すると、変更後のパスワードまで盗まれる恐れがあります。別のスマホやパソコンから、ブラウザに保存していたID・パスワードを優先順位の高い順に変更してください。

• 銀行・証券会社・クレジットカードのオンラインサービス
• メール（Gmail・Yahoo!メールなど）
• 主要なSNS（X・Instagram・Facebook・LINEなど）
• ECサイト（Amazon・楽天など）

対処3:カード会社・銀行・証券会社に連絡

カード番号や口座情報がブラウザに保存されていた場合、すぐにカード会社や銀行・証券会社に連絡し、カードの停止、口座の一時凍結、不審な取引の確認を依頼してください。

対処4:ウイルスチェック・初期化を検討

セキュリティソフトでウイルスチェックを行い、怪しいプログラムを削除します。ただしClickFixで使われるマルウェアの中には、検知や駆除が難しいものもあるため、重要な業務に使うパソコンは、データをバックアップした上で初期化（リカバリ）するのが確実です。

対処5:警察に相談・被害届

金銭的な被害が発生した、または発生のおそれがある場合は、警察相談専用電話「#9110」に連絡してください。すでに金銭をだまし取られた、不正送金された、悪質商法に巻き込まれたといった場合は、消費者ホットライン「188」も活用できます。

8. 派生型「FileFix」も登場している

2025年6月以降、ClickFixの派生形である「FileFix（ファイルフィックス）」も確認されています。これは「ファイル名を指定して実行」の代わりに、Windowsのエクスプローラーのアドレスバーを悪用する新しい手口です。

ブラウザだけで操作が完結しているように見えるため、利用者の警戒心が解けやすく、マルウェア感染の成功率がより高くなる可能性が指摘されています。今後も「画面の指示に従ってキー操作を行う」タイプの新しい手口が登場することが予想されるため、根本的な対策は同じです。「画面の指示でキー操作を求められたら、まず疑う」──この一点を覚えておくだけで、派生型を含む同種の攻撃から身を守れます。

9. 家族と一緒に守るために

ClickFixはパソコン利用者全員が標的です。「自分は引っかからない」と思っている人ほど、日常的なCAPTCHA画面で油断してしまうのが現実です。家族で対策を共有することが、最大の防御策になります。

家族で共有したい3つのこと

1. 「私はロボットではありません」のチェック後にキー操作を求められたら、すべて偽物と覚える
2. 「Windowsキー + R」「Ctrl + V」を求められたら、絶対に従わずブラウザを閉じる
3. 怪しい画面に出会ったら、操作する前に家族か#9110に相談する

家族で見直すべき3つのチェック

• 各家族のパソコン・スマホで多要素認証が有効になっているか
• 家族全員のパスワードが使い回しになっていないか
• カード・銀行・証券口座に身に覚えのない取引がないか

10. 関連する詐欺手口にも注意

ClickFixはフィッシング詐欺やサポート詐欺と組み合わせて使われることが増えています。あわせて知っておきましょう。

関連する詐欺手口

• フィッシング詐欺:メールやSMSで偽サイトに誘導してID・パスワードを盗む。詳細は2026年最新フィッシング詐欺の最新パターン13選と見破り方で解説しています。
• サポート詐欺:パソコンに偽の警告画面を出して電話させる手口。詳細はサポート詐欺の典型的な手口と対処法で解説しています。

まとめ:キー操作を求められたら、まず疑う

ClickFixは「正規の操作に見せかけて利用者自身にマルウェアを実行させる」という、これまでとは違う新しいタイプの攻撃です。セキュリティソフトでも検知されにくく、誰もが被害者になり得ます。しかし、本質的な防ぎ方はシンプルです。

覚えておきたい3つのポイント

• 「私はロボットではありません」の後にキー操作を求められたら、偽物の可能性が高い:本物は画像選択かチェックだけで完結する
• コピー&ペースト指示には絶対に従わない:正規のサービスが利用者にコマンドを直接実行させることはない
• 押してしまったら、まずネットワークを切断:別の端末からパスワード変更、不安なら#9110に相談

ClickFixは2024年後半から急増した、比較的新しい手口です。「自分は大丈夫」と思っている人ほど、日常的なCAPTCHA画面で警戒心が解けてしまいます。日頃からの習慣作りが、最大の防御になります。

この記事を家族や職場のLINEに送って、大切な人と一緒に対策を共有しましょう。たった1分の確認が、あなたと家族の資産を守るきっかけになります。

情報源:
警察庁サイバー警察局便りR7 Vol.7「『私はロボットではありません』偽画面に注意!」（2025年10月1日公開）、警察庁「サポート詐欺対策」、金融庁「インターネット取引サービスへの不正アクセス・不正取引にご注意ください」、IPA「偽のセキュリティ警告に関する注意喚起」、警視庁「ClickFix注意喚起」（2025年9月10日）、ESET「日本国内のClickFix検出動向」（2025年）、日本経済新聞「ClickFix関連報道」（2025年）、警察相談専用電話「#9110」、消費者ホットライン「188」