ネットでよくある質問「人間ですか?」に潜む罠、不正な操作へと誘導しマルウェアに感染させる「ClickFix(クリックフィックス)」攻撃の被害急増

「私はロボットではありません」のチェックボックスは、日常のウェブ閲覧でよく見かける。この見慣れた表示を悪用する「ClickFix(クリックフィックス)」と呼ばれるサイバー攻撃が、2024年から世界的に拡大している。2024年12月からの半年間で、世界の検知数が前期比で約6倍、日本では約9倍に急増したという報告もある。

個人のサイバー犯罪者から北朝鮮やロシア、イランなどの国家支援組織まで、あらゆる攻撃者がClickFixを次々と採用し始めている。攻撃対象は個人から企業、防衛産業組織を含む国家安全保障に関わる領域まで広域に及ぶ。
こうした状況を受け、各国当局も相次いで警戒を強めている。シンガポールのサイバーセキュリティ庁(CSA)は2025年7月10日、金融、製造、公共、小売、エネルギーなど幅広い業種での被害を確認し注意喚起した。アメリカでは7月22日にCISAやFBIなどが合同アドバイザリを公開、日本の警視庁も9月10日に注意を呼びかけている。
日常の"慣れ"を狙う手口
ClickFixの脅威は、日常的なウェブサイト閲覧中に突如現れる。「ページを正しく表示するには修復ボタンを押してください」といった偽のメッセージや、「あなたは人間ですか?」などの「CAPTCHA」(キャプチャ)と呼ばれる確認を装った偽画面が表示され、クリックを促される。
ユーザーはこれらを正規の手続きと誤認してしまう。本物の画面を精巧に模倣したものもあり、一般ユーザーが見分けることは極めて困難だ。
無料会員登録はこちら
ログインはこちら