▼ 新たに広がる「クリックフィックス」攻撃
最近「クリックフィックス（ClickFix）」と呼ばれる新しいサイバー攻撃が広がっています。
偽のエラーメッセージや確認画面を表示し、利用者自身に不正なコマンドを操作（コピー＆ペーストなど）させるのが特徴です。

広告やメール、SNSなどで不正なURLに誘導されたり、ウェブサイトやフィッシングサイトなどに偽のエラーメッセージを表示させたりする手口が確認されています。

画面の指示に従うとマルウェアに感染し、個人情報を盗まれたり、端末を遠隔操作されたりする危険があります。
従来のフィッシング詐欺とは異なり、偽の操作指示により「利用者本人が自分の手で実行してしまう」点が大きな特徴です。

▼ クリックフィックス攻撃の手口
攻撃者は、よく見かける「セキュリティ認証」を装って、本物そっくりの画面で操作を促します。

たとえば「私はロボットではありません」というチェックや「あなたが人間であることを確認するために、次の操作をしてください」といった見慣れたメッセージ画面。

そこでは「複数のショートカットキー操作」が指示されます。
それこそが「悪意あるプログラムを実行させるためのコマンド」です。
利用者が「必要な確認作業」だと思い込んで、指示通りにコマンドを実行するとマルウェアなどの不正なソフトウェアがインストールされます。

偽の認証画面のほかにも、偽のエラー警告やアップデート通知を装って同様の操作を指示してくる手口も確認されています。


▼ クリックフィックスの被害を防ぐためのポイント
正規のサービスが確認作業のために「コマンド入力」を求めることはまずありません。
見慣れた画面であっても、複数のキーを同時に押す「ショートカット」操作を求められたら要注意。絶対に指示には従わないでください。
被害を避けるために、次のような対策を心がけましょう。

・不意にロボット認証の画面が表示されたら、安易に指示に従わない
・認証過程で複数キーの同時押しを指示されたら、クリックフィックス攻撃を疑う
・不安を感じたら、公式サイトやサポートデスクなどに確認する
・OSやソフトウェア、セキュリティソフトを常に最新の状態に保つ

不審な画面が表示されても慌てずに確認すれば被害は防げます。
日ごろから冷静に対応できるよう、「インターネットでは詐欺を疑う」ことを意識してください。

＊　＊　＊　＊　＊　＊　＊　＊　＊

＜監修＞
濱田宏彰
セコム株式会社IS研究所リスクインテリジェンスグループ
シニアリスクコンサルタント／防犯設備士／防災士／日本市民安全学会常任理事

侵入窃盗を中心にあらゆる犯罪情勢の調査研究を継続。各方面に対しセキュリティコンサルティングを実施。犯罪傾向・統計情報を基にリスクマネジメントの観点から、「安全・安心」な暮らしのためのセキュリティについて研究する日々。
地域の自主防災会では常任委員を務め、日々の防災活動にも注力。
また書籍『セコムが教える防犯プロのアドバイス』『タイプ別にみる働く女性の防犯対策 ライフスタイルWoman360°』などの執筆・監修に携わる。

△クリックフィックス「私はロボットではありません」に潜む危険 TOPへ

■留守中・在宅中のご自宅を守る「セコム・ホームセキュリティ」
防犯は、留守中も在宅中も注意が必要です。防犯・火災監視・非常通報など、お客さま宅の異常発生を24時間365日セコムが見守り、万一の際には安全のプロがただちに急行する「セコム・ホームセキュリティ」は、留守中でも在宅中でも危険を察知できておすすめです。
「一戸建て・一軒家向けのホームセキュリティプラン」はこちら。