こんにちは、よろずやです!
ここ数カ月で、偽の確認画面やエラー表示を装って複数キーの同時押しをユーザーに実行させ、本人の手でマルウェア感染に導く「クリックフィックス(ClickFix)」という手口が急増しています。2025年8月21日(木)には共同通信も注意喚起を報じ、専門家は「ショートカットキーを使った操作指示には従わないように」と警鐘を鳴らしています。
目次
🔎 クリックフィックスとは?
偽のCAPTCHA(「私はロボットではありません」)や偽エラー画面を表示し、
Windows+R → Ctrl+V → Enter といった3手順のキー操作を“人間確認”の名目で実行させます。これにより mshta.exe や PowerShell経由で情報窃取型マルウェア(Lumma、XWorm、VenomRAT、AsyncRAT、Danabot、NetSupport RAT など)が落とされるケースが確認されています。
ポイント:2024年ごろに確認が始まり、2025年2月以降は偽reCAPTCHAを悪用した事例が目立つようになりました。日本語の誘導も観測されています。
🚩 こんな表示が出たら危険シグナル
- 「人間であることを証明するためWindows+Rを押してください」
- 「Ctrl+Vで貼り付けてEnterを押すと修復できます」
- メールのHTML添付を開くと、偽Office/偽Chromeのポップアップが出て“修復手順”としてキー操作を促す
👉 正規のCAPTCHAがキー同時押しを求めることはありません。 この時点でタブ/ブラウザを閉じてください。
🛡 被害に遭わないための基本対策(個人向け)
- キー操作の指示に従わない:怪しい画面は即クローズ。必要ならブックマークから正規サイトへ入り直す。
- HTML添付は要注意:業務上やむを得ない場合も、まず分離環境で開くのが安全。
- OS/ブラウザ/セキュリティを最新に:拡張機能は定期棚卸しで不要なものを削除。
- 検索結果・広告から入らない:重要サイトは公式URLを直接入力 or ブックマークで。
🧯「押してしまったかも…」の緊急対応
- ネット遮断(Wi-Fiオフ/ケーブル抜線)
- フルスキャン(エンドポイント保護で全体検査)
- 起動項目・タスクの確認と削除(見慣れない常駐やスケジュールタスク)
- 主要パスワードを別端末で変更+MFA有効化
- カード明細・ネットバンキングを要監視(不正疑いは停止・再発行)
企業や学校の端末なら独自対応は避け、すぐ管理部門へ連絡(証跡保全のため)。
🧑💼 企業・学校向け:実務に落とす追加策
- セキュリティ教育に「CAPTCHAでキー同時押し=不正」を明記。疑わしい画面の報告手順を具体化。
- メール経由HTML添付・Web経由の偽CAPTCHAを想定した演習(フィッシング耐性訓練)。
- EDR/URLフィルタ/DNSフィルタで既知悪性をブロックし、ブラウザのクリップボード権限を見直す。
- Windowsの運用制御:ポリシーでWin+Rの取り扱いを制限する検討(業務影響を評価のうえ段階適用)。
🧭 最新動向の押さえどころ(要点)
- 共同通信が2025年8月21日 08:11(JST)に注意喚起を報道。専門家は「ショートカット指示に従わない」対応を推奨。
- 偽reCAPTCHA誘導が主流化、日本語の誘導も確認。
- 具体的な感染フロー(Win+R → Ctrl+V → Enter → mshta.exe)と配布マルウェア群が公表されている。
✅ まとめ
- 合言葉:「CAPTCHAでキー同時押しが出たら即撤退」
- 押してしまっても:遮断 → 報告 → スキャン → 資産保護(PW/MFA/明細確認)。
- 組織は:教育・検知・遮断・運用の4点セットで定着させる。
- 被害は進行形です。“人に押させる”という盲点を突く手口ゆえ、手順そのものを疑う習慣が最大の防御になります。
引用・参考
- 共同通信配信「不正な操作指示、感染狙う 『キー同時押し』にご注意」
https://kumanichi.com/articles/1868613 - Microsoft Threat Intelligence(Booking.com なりすまし×ClickFix 解説)
https://www.microsoft.com/en-us/security/blog/2025/03/13/phishing-campaign-impersonates-booking-com-delivers-a-suite-of-credential-stealing-malware/ - Microsoft Threat Intelligence(最新の総括:“Think before you Click(Fix)”)
https://www.microsoft.com/en-us/security/blog/2025/08/21/think-before-you-clickfix-analyzing-the-clickfix-social-engineering-technique/ - KrebsOnSecurity「ClickFix: How to Infect Your PC in Three Easy Steps」
https://krebsonsecurity.com/2025/03/clickfix-how-to-infect-your-pc-in-three-easy-steps/ - NEC サイバーインテリジェンス「ユーザーを騙して悪意あるコマンドを実行させる ClickFix 手法」
https://jpn.nec.com/cybersecurity/intelligence/250514/index.html - MBSD(吉川孝志)「ユーザーを操る『ClickFix』の全貌」掲載のお知らせ
https://www.mbsd.jp/news/20250716/media/ - (参考:共同通信取材掲載の案内/MBSD)
https://www.mbsd.jp/news/20250821/media/
