🔥 この記事の詳細
2026-07-01 更新
B
今週中

「ClickFix」と呼ばれる、偽のCAPTCHAやエラー画面を用いてユーザーに悪意のあるコマンドを直接実行させる攻撃手法が進化しています

脆弱性🌐 英語ソース
📅 2026-07-01📰 hackernews
📌 一言でいうと
ClickFix」と呼ばれる、偽のCAPTCHAやエラー画面を用いてユーザーに悪意のあるコマンドを直接実行させる攻撃手法が進化しています。最新の分析では、API駆動型のサーバーを利用して、訪問者ごとに異なる難読化されたペイロードを配信し、セキュリティ検知を回避していることが判明しました。また、Windowsのスクリプトスキャンを回避する新しい配信手法も導入されており、ユーザーが自らコマンドを貼り付けて実行させるため、従来のウイルス対策ソフトでは検知が困難です。
🔍該当判定
  • Webサイト閲覧中に「人間であることを証明してください」という偽の認証画面(CAPTCHA)が表示された
  • Webサイトでエラーが表示され、「Windowsキー + R」などのキー操作と貼り付け(Ctrl+V)を指示された
  • 社内でWindows PCを利用しており、不審なサイトで指示通りにコマンドを実行した心当たりがある
上記いずれにも該当しない → 静観でOK
該当時の対応
不審なウェブサイトで「人間であることを証明してください」や「エラーを修正してください」という指示に従い、コマンドプロンプトやPowerShellにコードを貼り付けて実行させないよう、ユーザー教育を徹底してください。
📧 メール案を見る (社員向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】偽の「人間確認(CAPTCHA)」画面によるウイルス感染について

お疲れさまです。情報システム担当です。
ウェブサイトを閲覧中に、偽の「私はロボットではありません」という確認画面や、エラー修正画面が表示され、特定の操作(キー入力や貼り付け)を指示される攻撃が確認されています。

ご協力をお願いしたいこと:
1. ブラウザ上で「コマンドをコピーして貼り付けて実行してください」という指示が出ても、絶対に実行しないでください。
2. 不審な画面が表示された場合は、すぐにブラウザのタブを閉じてください。
3. 万が一、指示通りに操作してしまった場合は、直ちに情報システム担当まで報告してください。

対応期限: 本日中(周知確認)
Subject: [Security Alert] Malware Infection via Fake 'Human Verification' Pages

Dear employees,

We have observed an increase in attacks where fake 'I am not a robot' (CAPTCHA) or error correction pages trick users into executing malicious commands on their own computers.

What you need to do:
1. NEVER copy and paste commands into your terminal (Command Prompt or PowerShell) when prompted by a website.
2. If you encounter a suspicious page asking you to perform such actions, close the browser tab immediately.
3. If you have already followed such instructions, please report it to the IT security team immediately.

Deadline: Immediate