ネットでよくある質問｢人間ですか？｣に潜む罠､不正な操作へと誘導しマルウェアに感染させる｢ClickFix（クリックフィックス）｣攻撃の被害急増

「人間かどうかの確認」自体を危険と誤解してはならないが、不正な操作へと誘導されないように警戒が必要（写真：筆者提供）

「私はロボットではありません」のチェックボックスは、日常のウェブ閲覧でよく見かける。この見慣れた表示を悪用する「ClickFix（クリックフィックス）」と呼ばれるサイバー攻撃が、2024年から世界的に拡大している。2024年12月からの半年間で、世界の検知数が前期比で約6倍、日本では約9倍に急増したという報告もある。

サイバー攻撃やセキュリティーの最新動向など、その他の関連記事はこちら

個人のサイバー犯罪者から北朝鮮やロシア、イランなどの国家支援組織まで、あらゆる攻撃者がClickFixを次々と採用し始めている。攻撃対象は個人から企業、防衛産業組織を含む国家安全保障に関わる領域まで広域に及ぶ。

こうした状況を受け、各国当局も相次いで警戒を強めている。シンガポールのサイバーセキュリティ庁（CSA）は2025年7月10日、金融、製造、公共、小売、エネルギーなど幅広い業種での被害を確認し注意喚起した。アメリカでは7月22日にCISAやFBIなどが合同アドバイザリを公開、日本の警視庁も9月10日に注意を呼びかけている。

日常の"慣れ"を狙う手口

ClickFixの脅威は、日常的なウェブサイト閲覧中に突如現れる。「ページを正しく表示するには修復ボタンを押してください」といった偽のメッセージや、「あなたは人間ですか？」などの「CAPTCHA」（キャプチャ）と呼ばれる確認を装った偽画面が表示され、クリックを促される。

ユーザーはこれらを正規の手続きと誤認してしまう。本物の画面を精巧に模倣したものもあり、一般ユーザーが見分けることは極めて困難だ。