偽CAPTCHAでマルウェア感染、Windowsユーザー狙う「ClickFix」攻撃に注意

Windowsユーザーを標的に、セキュリティチェックを装った巧妙なサイバー攻撃が報告されている。

これは、人間による操作であるかを判定する認証テスト「CAPTCHA」を装い、ユーザー自身に悪意のあるコマンドを実行させる手口で、「ClickFix」と呼ばれる攻撃手法の一種である。

CAPTCHAは、ユーザー登録やログインフォーム、コメント投稿、お問い合わせフォームなど、さまざまなWebサービスで広く利用されている。利用者にとって日常的に目にする仕組みであり、正規の確認手続きとして受け入れられやすい。この攻撃はそうしたユーザーの心理的な慣れを突いている。

まず、Cloudflareなどの著名なセキュリティサービスを模した偽の認証画面を表示する。

続いて「追加の確認が必要」などと表示し、[Win]+[R]、[Ctrl]+[v]を押し、「OK」ボタンをクリックするよう指示される。

Windows PCでこの手順に従うと、「ファイル名を指定して実行」ダイヤログが開き、Webサイト側であらかじめクリップボードにコピーされていた悪意のあるPowerShellコマンドが実行され、マルウェアの感染プロセスが動き出す。LevelBlue（SpiderLabs）の解析によれば、侵害された正規サイトに埋め込まれた悪性JavaScriptが偽CAPTCHAページを読み込み、利用者のクリップボードへPowerShellコマンドを書き込む仕組みが確認されている。

これは、OSやソフトウェアの脆弱性を利用した攻撃ではない。利用者の心理的な隙や習慣を利用するソーシャルエンジニアリングに分類される。

同様の攻撃は2025年にも報告されていたが、今回は情報窃取型マルウェア「StealC」の使用が確認されている。通信暗号化やファイルレス実行、自己削除など検出回避テクニックが取り入れられており、従来使用されていた情報窃取型マルウェアよりも検出されにくいものとなっている。同マルウェアは、ブラウザーに保存されたパスワードやCookie、暗号資産ウォレット関連情報、Steamアカウント情報、Outlookの認証情報、端末情報、スクリーンショットなどを収集し、外部のサーバーへ送信する機能を持つとされる。

感染した際のリスクは高いが、対策自体は難しくはない。この攻撃は利用者の操作を前提として成立するため、Webサイト上でOSの操作を求められた場合は不審と判断し、指示に従わない姿勢が重要である。正規のCAPTCHAが、キーボード操作によってコマンド実行を求めることはない。

また、「画像が表示されない場合は手動で確認コードを入力してください」など、もっともらしい説明で［Win］＋［R］や［Ctrl］＋［V］の入力へ誘導するケースも報告されている。「確認コード」という表現が使われていても、OSレベルの操作を要求された場合は画面を閉じるべきである。