「私はロボットではありません」でまさかのウイルス被害!知らないと危険な新手口と対処法

青い背景に、偽の『私はロボットではありません』チェックボックスと赤い警告バナーが表示され、ウイルス感染やキーボード操作への注意を促すイラスト

見慣れた「私はロボットではありません(reCAPTCHA)」を装い、クリックやキーボード操作を誘導してマルウェアに感染させる“偽CAPTCHA”が急増しています。

そこで今日は、最新の手口と今日からできる防御策、万一の初動対応までをわかりやすく解説します。

目次
PR

偽CAPTCHAとは?本物との違い

正規のreCAPTCHA/Turnstileは、サイト運営者が導入し「人かボットか」を判定するための仕組みです。偽物は、改ざんサイトや悪質広告を経由して表示され、本物そっくりの見た目で追加操作を要求します。

  • クリック後に「Win+R → 貼り付け → Enter」などOS操作を求める
  • 英語/日本語が不自然、文法ミスや直訳調が目立つ
  • 別ウィンドウで通知の許可を促す

正規のCAPTCHAがOSレベルの操作ソフトのダウンロードを要求することはありません。

最新の実例:3つの代表パターン

1) Win+R(「ファイル名を指定して実行」)を使わせる型

偽CAPTCHAをクリックすると、「Win+R → Ctrl+V → Enter」の手順を指示。クリップボードにコピーさせた不正コマンド(例:mshta.exeやPowerShell経由)を実行させ、情報窃取型マルウェアのダウンロード・起動に繋げます。

2) クリップボード悪用・貼り付け強要型

画面上には「reCAPTCHA Verification」などの安心ワードが表示され、裏でスクリプトが実行されます。見かけは検証メッセージでも、実際は感染手続きが進みます。

PR

3) 通知許可に化ける型

チェックを押すとブラウザの通知許可ダイアログが出現。許可すると、デスクトップ/スマホへ偽警告や詐欺広告が大量送信され、別の不正サイトへ誘導されます。

本物のCAPTCHA(reCAPTCHA)との違いをさらに見極めるポイント

偽物を見抜くには「本物ならこう表示される」という知識も重要です。Googleの正規reCAPTCHAでは、チェックボックスの右下に 「reCAPTCHA」ロゴと “Privacy・Terms” へのリンク が必ず表示されます。

また、通信は https://www.google.com/recaptcha/ または https://www.gstatic.com/recaptcha/ などのGoogle公式ドメインを経由します。開発者ツールで確認すると、<script src=”https://www.google.com/recaptcha/api.js”> の読み込みがあるのも特徴です。

一方で偽CAPTCHAでは、これらの表示がなかったり、まったく別のドメインから読み込まれている場合が多く、プライバシーポリシーへのリンクも存在しません。「Googleの表記がない」「ロゴが粗い・消えている」など、細かな違いに気づくことが被害防止につながります。

やってはいけない3つ

  1. Win+Rを押さない(OSレベル操作の要求は即ウィンドウを閉じる)
  2. Ctrl+Vで貼り付けない(見えない悪意のスクリプトの可能性)
  3. 通知の許可をしない(許可してしまったら後述の手順でオフ)

偽CAPTCHAの見分け方

  • アドレスバーのドメインを確認(公式以外の見慣れないドメインは閉じる)
  • 日本語/英語が不自然、CAPTCHAと無関係の作業を求める
  • クリック後に別操作(通知許可、ダウンロード)が始まる

今すぐできる予防設定

1) 通知リクエストを止める(Chrome/Edge)

Chrome:右上︙→設定プライバシーとセキュリティサイトの設定通知→「サイトに通知の送信を許可しない」を選択。
Edge:右上︙→設定Cookieとサイトのアクセス許可通知→「許可」を空にし、「通知の送信前に確認する」を無効化。

2) Web保護をオン(Windows セキュリティ)

Windows セキュリティアプリとブラウザー制御SmartScreen/評判ベース保護を有効に。

3) 広告・スクリプトのブロック

拡張機能で悪質広告由来の誘導を減らします(過度なブロックは表示崩れに注意)。

感染の可能性があるときの初動

  1. ネットを切断(LANを抜くor Wi-Fiオフ)
  2. フルスキャン(Windows Defender等で検査)
  3. 拡張機能の点検(怪しいものを削除)
  4. 重要アカウントのパスワード変更(別端末から)
  5. 被害が深刻/不明な場合は初期化や専門家相談も検討

[スポンサーリンク]

大切なデータはバックアップしておきましょう。
使いやすい外付けSSDやUSBメモリがあると安心です。

通知を許可してしまった場合の解除方法(PC・スマホ)

通知を許可してしまった場合でも、ブラウザの設定から解除できます。たとえば Chrome(PC)なら

「右上の︙→設定→プライバシーとセキュリティ→サイトの設定→通知」

を開き、[許可]の中にある不審なドメインを削除または「ブロック」に変更します。Edgeもほぼ同じ手順で、[Cookieとサイトのアクセス許可→通知]から削除できます。
スマホ版のChromeでも、「設定→サイトの設定→通知」 から同様に管理できます。Androidでは詐欺通知が画面全体に出続けることもあるため早めの解除が大切です。

反対に、iPhone(Safari)は通知機能をサポートしていないため、Safariで“通知を許可してください”と表示された時点で偽物と判断できます。解除後はブラウザの履歴やキャッシュも削除しておくと安心です。

企業・組織での注意喚起

  • 定期トレーニング(実例スクショや社内ポスター)
  • Webフィルタリング/EDRの導入と監視強化
  • 通知一括無効化や拡張機能の制限ポリシー適用

VPNと偽CAPTCHAの関係:万能ではない

VPNは通信の盗聴対策に有効ですが、ユーザー操作を悪用する型(Win+Rや貼り付け強要、通知許可)には無力です。「怪しい操作はしない」を徹底し、複数の層で防御しましょう。

【スポンサーリンク】安心のセキュリティ対策

ウイルスバスター クラウドなら、パソコン・スマホをまとめて保護。

今ならダウンロード3年版で2ヶ月無料延長キャンペーン実施中!

👉 【ウイルスバスタークラウド】公式サイト
0

ノートン 360は、世界で支持されるNo.1セキュリティソフト

PC・Mac・スマホ、これ1本で総合保護!

まとめ・見慣れた画面ほど要注意

  • URLと挙動に違和感があれば即クローズ
  • Win+R/貼り付け/通知許可やらない
  • 不安ならスキャン+パスワード変更(別端末から)

万が一「おかしいかも」と感じたら、いったん閉じて深呼吸し、この記事の手順を思い出して対処してください。

偽CAPTCHAは“急がせる”のが常套手段です。落ち着いて確認すれば、ほとんどの被害は防げます。もし新しい手口や気になる挙動を見つけたら、コメントで教えてください。内容を随時アップデートしていきます。

おすすめ関連記事

▶︎ 【Google公式】あなたのアカウントを守るセキュリティ対策

▶︎ 【注意喚起】Googleアカウントが危険?乗っ取り・カード情報漏洩のリスク

▶︎ Microsoftアカウントに不審なサインイン通知が来たとき

▶︎ Windowsの基本セキュリティ設定チェックリスト

▶︎ エラー「SBATデータの確認に失敗しました」の対処法

タグ: , , , , , , , , , , , , ,