「私はロボットではありません」を利用した新しい詐欺が増えています

メディアックパソコンスクール橋本教室は初心者からでも学べるパソコンスクールです。電源の入れ方から、マウスやキーボードの使い方から学ぶこともできます。シニア世代向けには脳のトレーニングとして活用して頂けるコースをご用意しておりますし、高校生や大学生などが今後必要とされるパソコンスキルについての知識と技術を習得できるように様々なコースをご用意しています。Windowsの基本操作、Excel、Word、PowerPointをはじめ、Auto CAD、JW- CAD、Illustrator、Photoshopなどの専用ソフト、プログラミングのC言語、HTML＆CSS、VBAなど、社会人向けのスキルアップや資格取得のコースも多数ご用意しており、MOS試験、VBAエキスパートなどを始めとする様々な資格の試験会場でもあります。小学生のお子様からでも始められるキッズ基礎コースや、キッズプログラミングコースなどの子供向けコースも充実しております。

また、パソコンやスマホ、タブレットの操作について「ちょっと困った」事案ごとの個人サポートや、パソコンの修理・トラブル解決なども行っております。これらはパソコン教室の会員様以外でもご利用できますので、お困りのことがございましたらご遠慮なくご相談ください。

メディアックパソコンスクール橋本教室の無料体験・イベントのお申し込みはこちらからです。

https://www.tl-assist.com/user/reservation/G6rtB9WH/staff

現在開催中のイベントのご案内
今ちまたで話題の「AI」。その中でも様々なものを作り出す「生成AI」がどのようなものなのかお試ししてもらえるイベントです。参加費は無料。参加条件はマウス操作とキーボード入力のできる方。子供から大人まで誰でもご参加頂けます。ご家族でご参加も歓迎です。この機会に是非生成AIがどのようなものなのかお試しください。

冬休み特別コースのご案内

小学生～大学生向けの期間限定の特別コースをご用意致します。小学生・中学生は当教室のキッズコースのいくつかを2時間くらいでお試し体験できるコースを中心にご用意しています。高校生・大学生には社会人に必要なパソコンスキルの基本から教えるコースや、短期間でのMOS資格取得コースなどをご用意しています。詳しくはメディアックパソコンスクール橋本教室にお問い合わせください。
 

「私はロボットではありません」を利用した新しい詐欺が増えています

 

概要 — なぜ「私はロボットではありません」なのか

近年、ウェブ上の“CAPTCHA（「私はロボットではありません」など）”を模した偽の認証画面を使って利用者をだまし、マルウェア感染や個人情報窃取へ誘導する攻撃が急増しています。見た目は正規の認証ウィジェット（チェックボックス、画像選択、回転パズルなど）そのものか、公式サービス（Cloudflare、reCAPTCHAなど）を装うため、被害者は「正当な手続きをしている」と誤認しやすいのが特徴です。これらの手口は、従来のフィッシングや悪意ある広告（malvertising）と組合わされ、感染チェーンの出発点として極めて有効に機能します。
www.trendmicro.com
+2
McAfee
+2

代表的な手口（具体例とその流れ）

以下は報告例や研究報告で確認されている代表的なパターンを実際の被害例に基づいて平易にまとめたものです。各段階でなぜ利用者がだまされるか、攻撃者が何を狙うかを示します。

パターンA — クリップボード乗っ取り＋貼り付け誘導（典型的な「ClickFix / Fake CAPTCHA」）

流れ（概略）

普段使っているサイトに表示される広告枠や、検索結果のリンク、SNSの外部リンクなどから偽のページへ誘導される。

ページは正規のCAPTCHA（「I am not a robot」等）に極めて似たUIを表示。被害者にチェックを促す文言と同時に、画面下に「確認のため次のコマンドをコピーして実行してください」「Windowsキー＋Rで貼り付けて実行」等の手順が表示される。

ユーザーが指示通りに“コピー→貼り付け→実行”すると、見かけ上は短い「I am not a robot」文字列が貼られるが、実際はその前に長い悪意あるコマンドやダウンローダーのURLがクリップボードに潜ませてあり、結果としてマルウェアがダウンロード・実行される。
ポイント：見えている文字列は人に見える“おとり”で、実際の機能はクリップボードやスクリプトで隠蔽される。多数の組織でこの手口による情報窃取・トロイ化が報告されています。
McAfee
+1

パターンB — 「Cloudflare/reCAPTCHA偽装」ポップアップでダウンロードを促す

流れ（概略）

正規のアクセス制御（例：Cloudflareのチェック）を装ったポップアップを表示。

「ブラウザの問題を修正する」「最新のプラグインをインストールしてください」といった説明で悪意あるインストーラ（もしくは偽の「セキュリティツール」）へのダウンロードを促す。

指示に従いファイルをダウンロード・実行すると情報窃取系マルウェアやリモートアクセス型マルウェア（RAT）が導入される。
ポイント：公式バナーやロゴの悪用、正規サービス名の乱用で信頼を得る。HPや大学のセキュリティアラートでも注意喚起されています。
HP
+1

パターンC — モバイル向け／サブスク被害型（“認証で無料トライアル開始”の偽CAPTCHA）

流れ（概略）

無料コンテンツや動画サイトにアクセス → 偽の認証画面で年齢確認や人間確認を装う。

確認ボタンを押すと、端末のブラウザで“承認”の名目でSMS課金やサブスクリプション契約ページ（利用規約が小さく書かれており同意ボタンを押させる）に遷移。

気づかないうちに月額費用が発生する。
ポイント：スマホ表示だと操作が簡単で利用者の注意が散漫になりがち。複数の報告が上がっています。
Malwarebytes

攻撃の技術的背景（なぜ成功するか）

UIトラストの悪用：CAPTCHAやCloudflareブランドは「安全の担保」を意味するため、それ自体が信頼バッジに見える。視覚的な信頼はソーシャルエンジニアリングの基礎です。
HP

コピー＆ペーストの誤用を突く：多くのユーザーは「指示に従ってコピーして貼り付ける」操作が安全だと考えがち。攻撃者はこの習慣を利用してクリップボードに悪意ある内容を忍ばせます。
McAfee
+1

広告配信とサプライチェーンの乱用：正規サイトに表示される広告ネットワークやサードパーティのスクリプトが改ざんされ、無辜のサイト訪問者に偽CAPTCHAが表示されることが増えています。これにより大規模な“ばら撒き”が可能です。
it.osu.edu
+1

感染の低い障壁：ユーザーに一手間（チェック→コピー→貼り付け）をさせるだけで、エクスプロイトキットやブラウザの脆弱性利用なしにマルウェアを実行できる点が脅威です。
www.trendmicro.com

実際に報告された被害例（要点）

大学／企業の職員が偽CAPTCHAを経由して情報窃取型マルウェアに感染：一部の事例では、ブラウザでの「I am not a robot」ダイアログに従ってしまい、パスワードやブラウザCookie、暗号資産ウォレット情報が盗まれた報告があります。
safecomputing.umich.edu
+1

サプライヤーサイト経由で発生した被害：普段利用するサプライヤーのサイトに表示された悪意ある広告が原因で、業務PCが情報窃取マルウェアに感染したという報告が複数あります（サプライチェーン型の媒介）。
Reddit

一般ユーザーのスマホ課金／サブスク被害：偽認証画面の操作で知らぬ間に高額請求が続いたケースもあり、消費者庁や警察が注意喚起を出した国もあります。
ElHuffPost

見つけ方（発見のためのチェックポイント）

被害にあったかどうかを確認する際の典型的なシグナルは次の通りです（技術的な詳細は専門家と相談のこと）。

急に知らないプログラムが起動している、見慣れないプロセスが常駐している。

ブラウザの拡張機能やホームページが勝手に書き換わっている。

OSの「最近の実行履歴」やブラウザのダウンロード履歴に心当たりのないファイルやコマンドがある（※実行コマンドの具体的な中身を再現して試すのは危険なので避ける）。

オンラインサービスで二要素認証がロックされた、あるいは身に覚えのないパスワード変更通知が届く。

スマホで見慣れないキャリア課金が発生している、クレジットカード明細に見慣れない請求がある。
これらの兆候があればネットワークから切断し、専門家や所属組織のセキュリティ担当へ連絡することが推奨されます。
safecomputing.umich.edu
+1

企業・組織向け対策（実務的施策）

ユーザー教育（最も重要）

「ブラウザのポップアップで『コピー→実行』を求められたら疑う」ことを周知。特にサポート担当や非技術スタッフにも簡潔で繰り返しのトレーニングを行う。
CSO Online

広告やサードパーティコンテンツの管理強化

広告ブロックやコンテンツセキュリティポリシー（CSP）で未知の外部スクリプトの読み込みを制限する。サードパーティの改ざん検知を導入する。
it.osu.edu

エンドポイント防御の強化

EDR（エンドポイント検出応答）や振る舞い検知を導入し、クリップボードの異常操作や不審なプロセス生成のアラートを設定する。標準的なアンチウィルスだけでなく振る舞いベースの防御が有効。
www.trendmicro.com

ネットワークレベルのフィルタリング

悪名高いドメインやダウンロードサイトをブロックする。プロキシでファイル拡張子の不自然なダウンロードを検出する。
todyl.com

テストと演習

フィッシング演習やシミュレーションで社員の反応を確認し、実務に即した改善を繰り返す。

個人ができる実践的な予防策（分かりやすく）

疑わしいページでは“コピーして貼り付けて実行”を絶対にしない。正しい認証であればそのような手順を要求しないことが一般的です。
McAfee

ブラウザの拡張機能を最小限にし、不要なものは無効化／削除。

広告ブロッカーやスクリプトブロッカー（例：uBlock Origin、NoScript 等）を導入する（技術リテラシーに応じて設定）。これにより悪意ある外部スクリプトの読み込みを抑えられます。
blog.avast.com

OS・ブラウザ・プラグインは常に最新の状態に保つ。既知の脆弱性を悪用されるリスクを下げます。

二要素認証（2FA）を有効化する。万が一認証情報が漏れても被害範囲を限定できます。

不審な請求や挙動が見られたら即座にカード会社や携帯事業者に連絡。モバイルのサブスク被害は早期対応で金銭被害を抑えられる場合があります。
ElHuffPost

被害に気づいたときの初動（個人・中小企業向け）

ネットワークから切断（Wi-Fi／有線をオフ）。外部への情報流出や追加マルウェアのダウンロードを防ぐ。

重要なアカウントのパスワード変更（安全な別端末から）：オンラインバンキングやメール等の主要サービス。

ウィルス対策ソフトでフルスキャン：ただし検出の確実性に限界があるため、疑わしい場合は専門家へエスカレーション。
safecomputing.umich.edu

クレジット／携帯の不審請求は即時通報。消費者保護機関や警察への相談も検討。
ElHuffPost

組織の場合はSOC/CSIRTへ速やかに報告しログ保存。インシデント対応プロセスを開始する。
cyber.nj.gov

よくある誤解と注意点（FAQ形式）

Q. 「本物のreCAPTCHAと見分けられない」→ A. 見た目だけで判断するのは危険。公式サービスは通常、ブラウザのドメイン（google.com 等）やページのコンテキストに依存します。指示が「コピーして実行」など端末操作（OSの実行ダイアログを使う等）を要求する場合は偽である可能性が非常に高いです。
McAfee

Q. 「アンチウィルスを入れていれば安心？」→ A. 従来のシグネチャ検出だけでは回避され得ます。振る舞い検知やEDR、ユーザー教育との組合せが必要です。
www.trendmicro.com

今後の見通しと社会的対策の必要性

攻撃者は常にユーザーの“信頼の習慣”を狙います。CAPTCHA偽装は視覚的信頼を悪用する代表例であり、今後も別の信頼バッジ（「公式」ラベル、SNSログイン、Apple/Googleのサインイン表現など）を模したバリエーションが現れる可能性があります。組織レベルでは広告ネットワークの健全性確保、ブラウザベンダーによるUI詐称対策、法執行機関とプラットフォームの情報共有が重要です。
Splunk
+1

結論（要点まとめ）

「私はロボットではありません」認証を模した偽画面は、ユーザーの“正しい手順”という期待を悪用してマルウェアや課金被害に繋げる新手かつ有効なソーシャルエンジニアリング手法です。
McAfee

防御の要はユーザー教育とサードパーティスクリプト／広告の管理、そして振る舞い検知を備えたエンドポイント防御の三本柱です。
CSO Online
+1

被害が疑われる場合は即時切断・専門家連絡・関連サービスのパスワード変更を行い、早期対応で被害を抑えることが可能です。
safecomputing.umich.edu
+1

参考資料（本文に記載しなかった詳細資料一覧）

以下は本文で参照・参照元となった公開情報・報告の一覧です（アルファベット順）。必要なら個別のページをさらに深堀りして要約します。

HP Wolf Security — "'I Am Not a Robot' CAPTCHAs Being Used to Spread Malware, HP Warns." (HP press release / research). 
HP

McAfee Labs — "Behind the CAPTCHA: A Clever Gateway of Malware." 
McAfee

Malwarebytes Blog — "Fake CAPTCHA websites hijack your clipboard to install information stealers." (Mar 2025). 
Malwarebytes

Ohio State University IT — "Beware of Fake CAPTCHA that Initiates Malware." (Jan 2025). 
it.osu.edu

NJCCIC / State-level cybersecurity center alerts — "Fake CAPTCHA Malware Campaigns" (Mar 2025). 
cyber.nj.gov

Trend Micro Research — "Unmasking fake-captcha cases" (May 2025). 
www.trendmicro.com

CSO Online — "Fake captcha attacks are increasing, say experts." (Feb 2025). 
CSO Online

Todyl Blog — "ClickFix: Fake Captcha Leads to Real Damage." 
todyl.com

University security posts / safecomputing alerts (University of Michigan, Duke University security blogs) — 複数の大学セキュリティチームによる警告。
safecomputing.umich.edu
+1

各種メディアや報道（例：警察・消費者庁等による注意喚起記事）。
ElHuffPost