「最新サイトにアクセスしようとしたら、突然『私はロボットではありません』という画面が出た」
「クリックしたら怪しい指示が出てきた」——こんな経験はありませんか?
本来「私はロボットではありません(CAPTCHA)」は、Googleなどが提供する正規のボット対策機能で、安全なものです。しかし最近、この仕組みを悪用した偽CAPTCHA詐欺が国内外で急増しています。
2025年夏にはテレビのニュース番組でも「偽の『私はロボットではありません』からウイルス感染する事案が多発」として警告が流れ、特にキーボード操作を強要する手口が問題視されています。
本記事では、この新しい手口の実態と、実際の被害事例、そして今すぐできる対策について詳しく解説します。
偽CAPTCHAとは?
本物との違い
正規のCAPTCHAはGoogleのwww.google.com/recaptchaドメインなどで提供され、チェックボックスや画像認証を通じて「人間かどうか」を確認します。
一方、偽CAPTCHAは不正な広告や改ざんされたサイトに埋め込まれており、本物そっくりのデザインでユーザーをだますのが特徴です。
- クリック後に不自然なポップアップが出る
- 「Windowsキー+Rを押してください」など、CAPTCHAとは無関係な操作を指示される
- 英語や日本語が不自然(翻訳調)
このような特徴が見られたら要注意です。
最新事例:クリックとキー操作で感染
2025年春以降、以下のような手口が複数報告されています。
1. Lumma Stealer感染
海外セキュリティ会社が報告した事例では、偽CAPTCHAをクリックすると裏でマルウェア「Lumma Stealer」がダウンロードされ、保存されているパスワードや暗号資産ウォレット情報が盗まれる被害が発生しました。
2. キーボード操作を使った高度な手口
国内で話題になった手口として、偽CAPTCHA画面でクリック後に「WindowsキーとRを押してください」「このコマンドを貼り付けてEnterを押してください」と指示されるケースがあります。
指示に従ってしまうと、クリップボードにコピーされた不正スクリプト(例:mshta経由でマルウェアを実行)が動作し、PC内の情報が盗まれたり、遠隔操作される危険があります。
テレビの報道でも「キーボード操作を絶対にしないでください」と強く呼びかけていました。
3. 通知許可を装った詐欺
別のパターンとして、「私はロボットではありません」のチェックを押すとブラウザ通知の許可画面が開くという事例もあります。
これを許可すると、広告詐欺や偽セキュリティ警告などがスマホやPCに大量送信され、トラブルの元となります。
なぜ被害が増えているのか?
- 見慣れた表示で警戒心が薄い
普段から目にするCAPTCHA画面だからこそ、怪しいと気づきにくいのが特徴です。 - 広告ネットワークや改ざんサイト経由
正規サイトでも広告が改ざんされ、偽CAPTCHAにリダイレクトされるケースがあり、ユーザーが悪意を見抜くのは難しい状況です。 - テレワークやクラウド利用の拡大
業務PCや家庭PCでの利用が増え、感染時の被害規模も拡大しています。
偽CAPTCHAを見分けるチェックポイント
以下の点に注意するだけでも被害防止に役立ちます。
- アドレスバーのドメインを確認する(google.com/recaptcha以外は注意)
- 不自然な日本語・英語や、操作指示が出るCAPTCHAは偽物
- クリック後に「通知を許可してください」など別の操作が求められたら閉じる
- いきなり「Win+R」などOSレベルの操作を指示されたら即座にキャンセル
上記のポイントに当てはまる場合は、少しでも不審に感じた時点でページを閉じるのが安全です。
本物のCAPTCHAであれば、追加の操作(キーボード入力やソフトのダウンロード)を求められることはありません。
「見慣れた画面だから大丈夫」と油断せず、常にURLや挙動を確認する習慣が大切です。
感染してしまった場合の対応
万が一クリックやキー操作をしてしまったら、以下の対応が推奨されています。
- ネット接続を切断:LANケーブルを抜くかWi-Fiをオフ
- ウイルススキャン:信頼できるセキュリティソフトでフルスキャン
- ブラウザ拡張機能の確認:怪しい拡張を削除
- パスワード変更:安全な端末から主要アカウントのパスワードを変更
- 必要ならPC初期化や専門業者相談:被害が深刻な場合は早めに相談
上記の手順はあくまで初期対応です。被害の有無や規模を正しく把握するには、専門家や公式サポートへの相談も検討しましょう。
たとえ問題がないように見えても、マルウェアが潜伏している場合があります。
安心できる状態に戻すために、必要に応じてリカバリーや再インストール、パスワードの定期変更などを行うことが大切です。
企業や組織での注意喚起も必須
企業でも同様の攻撃が確認されており、社内PCが感染すると業務データ流出や不正送金につながる危険があります。
- 定期的な社員教育(偽CAPTCHAの例を共有)
- Webフィルタリング、EDRなどのセキュリティ対策導入
- ブラウザ通知機能の無効化や権限制御
個人の被害だけでなく、企業や団体でPCが感染すると、機密情報や顧客データの流出、業務システム停止など、被害が甚大化するリスクがあります。
特にテレワークやクラウドサービスを活用する今の時代、1台の端末の油断が全社的な被害につながるケースも少なくありません。
定期的なセキュリティ教育や社内ポリシー整備、フィルタリング・EDRなどの技術的対策を組み合わせることで、被害の芽を早期に摘むことが重要です。
VPNでは防げない?偽CAPTCHA対策との関係
「VPNを使っているから安心」と思う方も多いですが、残念ながらVPNだけでは偽CAPTCHAや詐欺サイトの被害を防げません。
VPNは通信経路を暗号化し、IPアドレスを秘匿することでプライバシーや盗聴防止に役立ちます。しかし、偽CAPTCHAのようにユーザー自身がサイトにアクセスし、クリックやキーボード操作をしてしまうタイプの攻撃には無力です。攻撃元の通信は正規のhttpsとして扱われるため、VPNから見ると「普通の暗号化通信」にしか見えません。
こうした攻撃から身を守るには、以下の対策が必要です。
- 怪しいページではクリックやキー操作をしない
特に「Win+R」「Ctrl+V」などOSレベルの操作を求められたら即閉じる。 - セキュリティソフトのWeb保護機能を活用
Windows Defenderなど、危険なサイトを警告してくれる機能を有効化。 - 広告やスクリプトブロックを導入
悪質広告経由で誘導されるリスクを減らせます。 - OSとブラウザを最新状態に更新
脆弱性を狙われないよう、定期的にアップデート。
VPNは公衆Wi-Fi利用やプライバシー保護には有効ですが、偽CAPTCHA・詐欺サイトへの過信は禁物です。ユーザー自身の警戒と複数の対策を組み合わせることが重要です。
【スポンサーリンク】安心のセキュリティ対策
まとめ:見慣れた画面だからこそ注意
「私はロボットではありません」という見慣れた表示が、実は罠になっている——この事実は多くの人にとって衝撃でしょう。
しかし、本物かどうかを冷静に確認し、怪しい操作指示には従わないという基本的な対策で防げる被害がほとんどです。
- URLや表示の違和感に敏感になる
- キーボード操作を要求されたら即座に中止
- 感染後は迅速にスキャンとパスワード変更
見慣れた画面ほど油断が生じやすいものです。今回紹介した事例と対策を参考に、ぜひ周囲にも注意喚起してあげてください。
おすすめ関連記事
▶︎【Google公式】あなたのアカウントを守ためのセキュリティ対策ガイド
▶︎【注意喚起】Googleアカウントが危険な状態?乗っ取り・カード情報漏洩のリスク
▶︎【注意】Microsoftアカウントに不審なサインイン通知が来たときの対処法
