最近、増加中のClickFix（クリックフィックス）によるサイバー犯罪の手口とは

多くのウェブサイトでIDやパスワードを入力する際に、「私はロボットではありません」というチェックボックスが表示されることがよくあります。これは、人間ではないbotなどの悪意のあるプログラムが不正にアクセスしているかどうかを見分けるために表示されますが、最近このチェックボックスに見立てた「ClickFix」と呼ばれるサイバー攻撃が世界各地で報告されています。このClickFixとは、どのようなサイバー攻撃なのか、誰が悪用しているのか、仮に攻撃を受けた場合はどのような被害を受けてしまうのでしょうか？今回は、ClickFixの仕組みや犯罪事例、セキュリティ対策について解説します。

ClickFixとは？その仕組みと脅威

時々、ウェブサイトを閲覧していると「あなたは人間ですか？」や「私はロボットではありません」という画面が表示されてチェックボックスを使用した確認を求められる場面があります。これは人間のふりをして不正アクセスをしようとするbot対策のための認証システムです。botとは、インターネット上で人間が行なうよりも何倍もの高速で自動でタスクを実行するアプリケーションソフトウェアのことですが、不正目的で利用されている場合もあります。例えば、多くのデバイスで不正なログインを繰り返すbot、サーバーやネットワークに過剰な負荷をかけてサービスを妨害するDos攻撃、インターネット上のEメールアドレスを収集し、スパムメールを大量に送るのに加えてスパム広告を自動表示させてマルウェアに感染させるスパムbotなどが知られています。また、オンラインゲーム業界では、アイテムやゲーム内の通貨を不正取得するためにbotを利用する手口がよく見られます。このように多くのウェブサイトでは、この悪意があるプログラムであるbotを含む、様々なサイバー攻撃にさらされる危険があります。

これらのbot対策のために開発された仕組みが「CAPTCHA（キャプチャ）」です。キャプチャは今操作しているのはbotなのか、人間なのかを判別する仕組みで、その中でもGoogleが提供しているreCAPTCHA（リキャプチャ）は、チェックボックスだけでなく、複数の画像の中から適した画像を選ばせる写真を使ったクイズなどを提供しており、優れたセキュリティサービスとして知られています。最近では「私はロボットではありません」のチェックボックスが表示されたページにアクセスした時点で、マウスのクリック回数やスクロールの動きなどがAIによって精査され、人間か、botかが判断されるまでに進化しています。

しかし、最近はこのリキャプチャによるチェックボックスに扮したClickFixというサイバー攻撃が増えています。ClickFixは主にマルウェアに感染させるための手口で、ウェブサイトなどで「私はロボットではありません」という偽のポップアップ画面を表示してチェックボックスにチェックを入れさせたり、写真クイズなどを表示させ、指示通り打ち込むよう誘導します。ユーザー自身が操作することで悪意あるスクリプトが自動的に実行されてしまうため、従来のセキュリティ機能をすり抜けて攻撃が実行される可能性が高いのが特徴といえます。上記のbotかどうかの判断に加えて、ファイル名を指定して実行するRunダイアログや、「以下のコードをコピーし、Windowsのファイル名を指定して実行（Win+R）してください」などと誘導し、コードを貼ってしまうとマルウェアが起動するコマンドプロンプトなどの手口も報告されています。

このClickFixはソーシャルエンジニアリング攻撃の一種で、マルウェアなどの不正な働きをするソフトウェアがお使いのデバイスにインストールされて各オンラインサービスの認証情報や個人情報が漏洩するなどの被害に遭う可能性があるなど大変危険です。感染源は偽サイト、フィッシングメール、SMS、SNSなど様々です。この新手のサイバー攻撃の手口は、2024年後半から増加し始め、2025年に入ると個人のサイバー犯罪者だけでなく、国家や大規模な犯罪組織でも利用されていることがわかっています。このClickFixによる標的は、個人だけでなく、企業や国家安全保障に関わる組織など広範囲に及んでおり、いま世界各国で特に警戒されているAIを悪用した手口の一つといえます。

ClickFixによるサイバー犯罪例

現在、世界各国で非常に多くのClickFixが起きており、日本でも警視庁が注意を呼びかけています。ここ1年間のうちに確認されたClickFixは大幅に増加しており、今後は企業や公官庁のみならず、各個人をターゲットとした事件が増えることが予想されています。以下では、これまで確認されているClickFixによる犯罪例を紹介します。

Booking.comに登録している宿泊施設のホストを狙った手口

インターネット上における旅行代理店として世界的に知られているBooking. comは、2024年12月にClickFixを使ったサイバー攻撃を確認しました。ターゲットとなったのは、北米やオセアニア、南アジア、東南アジア、欧州においてBooking.comと取引をしている宿泊施設を運営している法人や個人のホストです。犯人は、ホストに対してあたかもBooking.comから送られてきたように装った偽のメールを送りつけます。偽メールの中身は、Booking.comのアカウントの確認をはじめ、偽のエラーメッセージ、宿泊客からの否定的なレビューへの対応、見込み客からのリクエスト、オンラインプロモーションの機会などその種類は非常に多く、どれも問題を解決しようというホスト側の心理を悪用するものばかりで本物と見分けがつきにくいです。これらの偽メールに含まれているリンクをクリックするとBooking.comの公式サイトを模倣した偽サイト上に偽のCAPTCHAが表示されます。これを実行してしまうと、マルウェアがダウンロードされてデバイスが乗っ取られたり、Booking.comのアカウントが盗まれたり、顧客情報や支払い情報が盗まれて不正請求を受けるなどの被害が発生しています。

動画共有サービスの視聴者を狙った手口

2025年3月、アメリカのカーディーラー専用の動画共有サービスにClickFixが仕掛けられました。この手口は、まず動画共有サービス「LES Automotive」を利用している100社以上の自動車ディーラーのウェブサイトに、人間であることを証明するリキャプチャを偽ったClickFixが表示されます。この指示を実行すると偽サイトへ接続され、クレジットカードなど各金融情報や個人情報が盗まれたり、トロイの木馬である「SectopRAT」に感染してリモート操作されてしまう恐れがあります。この事件は正規のウェブサイト自体の脆弱性が悪用されて、ClickFixの不正コードが埋め込まれるなど改ざんされてしまったことが原因でした。このようなClickFixによる手口は、正規のサイトにClickFixの不正コードが埋め込まれているため、表示されるURLは本物です。なのでほとんどのケースでは、ClickFixが仕掛けられていること自体に気付いていない場合が多く、非常に巧妙といえます。

海外の犯罪グループの常套手段

2025年2月、北朝鮮のサイバー犯罪組織「Kimsuky」が日本の外交官になりすまして、アメリカのワシントンD.C.にある日本大使館で山田重夫駐米大使と面会を依頼するというClickFixを含んだ偽のメールを送信して使っていたことがわかっています。メールに添付されたPDFファイル内には悪意あるリンクが仕込まれており、クリックするとClickFixである「登録コード」の名目でPowerShellをユーザーに実行させる方式が確認されています。この方式を実行すると、最終的にリモートアクセス型マルウェアが展開されて情報漏洩などの被害が想定されます。また、2024年10月にはロシアのサイバー犯罪組織「TA422」によるGoogle社が提供しているGoogleスプレッドシートを装ったフィッシングメールを使用したClickFixが確認されています。その他にもイランのサイバー犯罪組織「TA450」が中東諸国に送信したMicrosoftを装った英語のフィッシングメールにもリモート操作による不正アクセスするためのClickFixが確認されています。このようにClickFixは海外の犯罪グループのサイバー犯罪の常套手段となっています。

現時点では、日本国内の企業や団体がClickFixによって被害を受けたというニュースはまだあまり多くはありません。しかし、2025年10月にMicrosoft社が発行したレポートによると、最近サイバー犯罪者がターゲットのデバイスに侵入する際の手口のうち、実に約47％がClickFixであると発表しています。このように私達は普段の生活の中でもClickFixによって個人情報や機密情報が盗まれている可能性は否定できなく、気づかないうちに被害に遭っているかもしれません。

ClickFixから身を守るためのセキュリティ対策

ClickFixは、非常に見分けががつきにくく、気づかないうちに被害に遭っている可能性があり、大変危険です。こちらではサイバー犯罪者によるClickFixの罠に引っかからないためにも、私達が普段の生活の中で実行できるセキュリティ対策についてまとめました。

不審なメッセージやポップアップは即閉じる

ウェブサイトを閲覧中に突然、「あなたはロボットですか？」などというメッセージやポップアップが表示された場合でも、すぐに実行しないことが被害を未然に防ぐことに繋がります。これらが表示されたとしても焦ってクリックする前に一度立ち止まって考えたり、調べるなどの習慣をつけることが大事です。

サービス元に確認する

インターネットを利用している際に「あなたはロボットですか？」やWindowsのファイル名を指定して実行を促すなど不審なメッセージやポップアップ表示が出た場合、安易に指示に従ってしまうとClickFixの被害に遭ってしまいかねません。本物かどうかを確認するためにも表示されたオンラインサービスを提供している会社に直接問い合わせることも一つの手段です。その際、必ず別なデバイスで検索することで偽サイトへアクセスしてしまうことを防ぐことができます。

OSとアプリは常に最新の状態に

お使いのデバイスのOSと使用しているアプリのバージョンを常に最新の状態に保つことも重要です。一般的にOSやアプリは、一定期間毎に最新のバージョンを更新し続けています。これは脆弱性などがある場合、サイバー犯罪者に狙われることを防ぐためです。OSやアプリを常に最新の状態をキープすることでClickFixをはじめとするサイバー攻撃からお使いのデバイスを保護することができます。

インターネット利用時は必ずVPNに接続する

サイバー犯罪者は四六時中、私達の情報を盗もうとしています。特に外出先で公共のフリーWi-Fiを使用する場合は要注意です。公共のフリーWi-Fiは、使用料が無料であるがゆえにほとんどの回線はセキュリティ対策に費用をかけられずにセキュリティ面が脆弱なため、サイバー犯罪者がマルウェアなどの罠を仕掛けやすいです。安易にフリーWi-Fiに接続してマルウェアに感染しないためには、接続することで通信内容を暗号化することができるVPN（仮想プライベートネットワーク）を利用しましょう。オンラインセキュリティ業界最大手であるマカフィー（McAfee）社が提供しているマカフィー＋ではVPNをはじめ、複数の優れたセキュリティ機能が利用できます。

セキュリティ対策ソフトを導入する

優れたセキュリティ対策ソフトを導入することで、サイバー犯罪者による攻撃からお使いのデバイスを保護できます。現在、非常に多くのセキュリティ対策ソフトが販売されていますが、なかでもマカフィー（McAfee）社が提供しているマカフィー＋は総合的なセキュリティ対策ソフトとして評価が高いです。例えば、ウェブサイトを閲覧する際に事前に安全面を検知してくれたり、ダークウェブ上に個人情報がないかを24時間365日監視してくれるなど、導入することでデバイスのセキュリティをより高めることができます。

まとめ

今回は、ClickFixを使ったサイバー犯罪事例や対策について解説してきました。ClickFixは、最近サイバー犯罪者が最も利用している手口であり、残念ながら今後私達も遭遇する可能性が非常に高いです。ClickFixの特徴は、Googleのリキャプチャなど正規のポップアップを模倣しているため、本物か偽物かを見分けるのが難点です。Microsoft社などのデータによるとClickFixを使ったサイバー攻撃は非常に増えており、今後も増えることが予想されています。基本的にClickFixは、お使いのデバイスにマルウェアなどが侵入しなければ、実行できません。なので、まずはデバイスを保護するための対策を実行することが重要です。マカフィー＋をはじめとする複数のセキュリティ機能を実行できるソフトをデバイスに導入することで、セキュリティはより堅固なものになります。ClickFixをはじめとするサイバー犯罪に巻き込まれないためにも、まずは上記で紹介したセキュリティ対策だけでなく、パスワードの使い回しを避けるなど基本的な対策が重要となります。さらに常にアンテナを張って最新のサイバー犯罪事件に関する情報を入手しておくことが最大の対策といえるでしょう。