キーボード操作でウイルス即感染!reCPATCHA装うClickFixの攻撃例

私はロボットではありませんreCAPTCHA偽物でウイルス・マルウェア感染被害!危険な詐欺画面でClickFix攻撃の実例。


海外の一般サイトをネットサーフィン中、リダイレクト広告により強制的に転送されて、こんな画面にたどりつきました。

私はロボットではありません 偽 reCPATCHA ウイルス感染 ClickFix
reCAPTCHA 私はロボットではありません確認画面?

どう見ても reCAPTCHA (提供元 Google) だけど、実は 偽物

偽物と気付ける怪しい要素がないに等しく、多くのユーザーが何も考えずに [□ 私はロボットではありません] の部分をポチッとするはず。


ショートカットキーを押すようキーボード操作の指示

クリック直後の様子はこうなります。

リクエストを確認するには以下の手順に従ってください次の順番でキーボードを操作してください
キーボード操作の指示? 正体は ClickFix 攻撃

【reCAPTCHA? 危険なキーボード操作の案内】
Download in progress
リクエストを確認するには以下の手順に従ってください
次の順番でキーボードを操作してください:
1. Windows + X を押します
2. I を押します(または Terminal を選択)
3. Ctrl + V を押します
4. Enter を押します

日本語で 「リクエストを確認するには 以下の手順に従ってください」 となりました。

  • 本物の reCAPTCHA
    マウスのクリックや液晶画面のタッチで □ にチェックマークを入れて突破できる
    複数の写真 (信号機、消火栓、バイク、バス、自転車など) を選ぶ画像パズルを解く

  • 偽物の reCPATCHA
    特定のショートカットキーを押すようキーボード操作を指示する

ここでやっと、この reCPATCHA 画面にしか見えないコンテンツが、詐欺師の仕込んだ罠と気づきます。


ユーザーの心を操る ClickFix 攻撃

この脅威は 2024 年から確認されている ClickFix (クリックフィックス) という攻撃手法です。

定番の手口が、ユーザーが人間 or ロボットを判定する CAPTCHA 画面を装いペテンに掛ける策略です。

  • ClickFix … ユーザーの心を操り攻撃処理を実行させる
    └ 派生 TerminalFix … PowerShell やコマンドプロンプトに攻撃処理を貼り付けさせる

  • FakeCaptcha … 認証作業の一環と思い込ませてユーザーをだます偽の CPATCHA 画面

キーボード操作がウソデタラメの案内であり詐欺なので、適切な対処方法は 指示に従わずブラウザのタブを閉じて離脱 しなくてはいけなせん。

【Amazon.co.jp限定】バッファロー SSD 外付け 1.0TB 超小型 コンパクト ポータブル iPhone 17e / 17 / 17 pro / PS5 / PS4対応(メーカー動作確認済) USB3.2Gen1 ブラック SSD-PUT1.0U3-B/N
【Amazon.co.jp限定】バッファロー SSD 外付け 1.0TB  〔PR〕

キーボード操作で攻撃処理を実行、ウイルス感染

今回は詐欺と気づかず、reCPATCHA の認証作業の一環と思い込んでいる体で、指示に従ってみます。

「1. Windows + X を押します」
→ Windows スタートの右クリックメニュー (コンテキストメニュー) が表示される
 
「2. I を押します(または Terminal を選択)」
→ PowerShell が起動する

「3. Ctrl + V を押します」
クリップボードの内容を PowerShell のウィンドウ画面に貼り付ける

目の前にあるキーボードを操作すると、PowerShell のウィンドウ画面に謎の文字列が反映 (貼り付け) されました。

ClickFix攻撃のキーボード操作で危険なPowerShellスクリプトを貼り付けた場面
PowerShell スクリプトが貼り付けられた場面

謎の文字列の正体は、いつの間にか Windows のクリップボード上に勝手にコピーされていた PowerShell スクリプトです。


ウイルス即感染! PowerShell スクリプトの動作内容

偽物の reCPATCHA 画面で指示された最後の手順…

「4. Enter を押します」

を行うと The End。

ユーザー自らの意思で、謎の PowerShell スクリプトを実行することになります。

Windows の Copilot AI に分析してもらうと、この PowerShell スクリプトは、コンピュータウイルス (マルウェア) の実行ファイルをこっそりダウンロードしてきて起動させる、という攻撃処理を含んだコマンド (命令文) でした。 

reCAPTCHA でウイルスの実行ファイルを感染させる処理内容の解析
Copilot AI による PowerShell スクリプトの動作内容

たとえば、マルウェアの種類が InfoStealer (インフォ・スティーラー) 系なら、Edge、Chrome、Firefox ブラウザに保存させている認証情報、オートコンプリート、パスワードマネージャーのデータ を窃取されます。

その結果、主要なウェブサービス (Google/YouTube/Gmail、Apple、Microsoft、Facebook、Instagram、X、Amazon、Spotify など) に次々と不正アクセスが起こり、アカウントが乗っ取られる被害が想定されます。


Q. ウイルス感染攻撃の対象環境は?

この記事の偽物の reCPATCHA 画面は、攻撃対象は Windows 10 や Windows 11 です。

CAPTCHA の認証作業と思い込ませてだます ClickFix 攻撃は macOS (マック) 向け のものも見かけます。

機能性が大きく異なるスマホ (Android、iPhone) は、ClickFix 攻撃の対象外です。


Q. 怪しいファイルをダウンロードする場面がない?

ClickFix 攻撃は、何か有用そうに見えるファイルをダウンロードさせて起動してもらい罠にはめる古典的な感染手口は異なります。