「私はロボットではありません」は本物?ウイルス感染するかも!偽reCAPTCHA詐欺と対処法
※当サイトはアフィリエイトプログラムを利用しています。
あなたが何気なくクリックした「私はロボットではありません」の見慣れたチェックボックス。
その一瞬の行動が、マルウェア感染してしまうかもしれません。
最近急増しているこの「偽reCAPTCHA詐欺」を見破るポイントから、もしも騙されそうになった際の正しい対処法まで、詳しくお伝えします。
警視庁より注意喚起!偽reCAPTCHA詐欺
「警視庁サイバーセキュリティ対策本部」のエックスアカウントの投稿が話題になっていましたので情報を共有したいと思います。
「私はロボットではありません」にチェックをいれるだけで認証できるタイプですね。以下適宜、このシステムの名称である「reCAPTCHA」を使います。
この方法が出たときは、画期的だと言われていたのを覚えています。
それまではアルファベットやひらがを入力しなくてはならなくて、視認性が敢えて悪くしてある文字に辟易している人も多かったんですよ。私もだけど。
他にはタイル状に表示された数枚の画像から「信号機が写っている画像を選択」といったのもありますよね。
「もう一枚見つからないじゃん!」と思ったら、かなり見切れていて騙された気分になったり(笑)。
そんな便利な認証システムである「CAPTCHA」を悪用し、マルウェアをインストールさせる手口が増えているとして、警視庁サイバーセキュリティ対策本部は注意喚起しています。
【「私はロボットではありません」の画面、本物ですか?】
— 警視庁サイバーセキュリティ対策本部 (@MPD_cybersec) September 9, 2025
CAPTCHA画面に偽装してクリックさせる手口が増えています。怪しいメールや広告のリンク先で急に出た確認画面はクリックせずに閉じましょう。また、指示されたコマンドを安易に実行しないよう注意してください。#ClickFix #CAPTCHA pic.twitter.com/c53lCAx71D
偽のreCAPTCHAに先日遭遇
私自身も「偽のreCAPTCHA」に先日遭遇したばかりだったんですよ。
お客様への重要なお知らせ:LINEアカウントに関する再認証からの迷惑メール
もともとフィッシング目的だと思われる迷惑メールでしたから、「出た!偽物!」とすぐに気づきました。
こちらがその時登場した「偽のreCAPTCHA画面」をスクショしたものです。
悪質サイトを実名とドメインをあわせて掲載するかたわら、悪質サイトが閉鎖していないかとか、サイト名やドメインが変わっていないかといったチェックを定期的にしてます。
その時によくこの「偽のreCAPTCHA画面」に遭遇するんですね。
それを考えると、偽物の「私はロボットではありません」には随分前から遭遇していることにもなるんだわ。
それと偽の警告画面詐欺にも。
【詐欺】スパイウエアソフトを感知 050-5532-2883 思わず失笑【電話しないで】
【サイトからのメッセージ】やっと画面を保存した【システム警告】
私の場合は自分の経験もあって、「私はロボットではありません」が表示されても偽物だとすぐにわかるので、チェックを入れたことがありません。
アクセスしたURLも何が表示されているかなども見る癖がついているというのもあります。
私自身が登録している、もしくはこれから登録するウエブサイトではないのですから、「reCAPTCHA」が表示されること自体違和感を覚えます。
そういった「偽物と本物の見分け方」も掲載していますヨ。
Googleなどのパスワードマネージャーを利用しているからなのか、以前に比べると「reCAPTCHA」の出現率が減ったなと感じていたのですが、さらに進化していたんですね。
そのせいなのかな?この記事を書くにあたり、「reCAPTCHA」自体についても詳しく解説していますので、興味のある方は読んでみてね。
reCAPTCHA自体の解説は別にいらないよという方は目次から読みたい場所に飛んでください。
私たちがとる安全対策、たとえば上に書いた「偽物と本物の見分け方」あたりはなるべく読んでほしいかな。見慣れた画面だからこそ注意してくださいね。
そもそもCAPTCHAとは何?
CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart)は、ウェブサイトへのアクセス主体が人間か、それとも自動化されたプログラム(ボット)かを判別するために設計されたセキュリティ技術です。
後に「CAPTCHA」が「ReCAPTCHA」へと進化して、「reCAPTCHA v3」となり、企業向けに「Enterprise」が出ています。
- 目次
- ・CAPTCHA・reCAPTCHAの歴史
- ・進化するreCAPTCHA
- ・・reCAPTCHA v2
- ・・画像選択チャレンジ
- ・・reCAPTCHA v3
- ・・reCAPTCHA Enterprise
- ・なぜreCAPTCHAは進化し続けるのか
CAPTCHA・reCAPTCHAの歴史
「CAPTCHA」が「ReCAPTCHA」へと進化していった過程をAIのClaudにまとめてもらいました。
「CAPTCHA」が誕生したのは1997年、それ以来ずっと進化を続けていてるのがわかります。
📅1997年 - CAPTCHA誕生
AltaVistaが検索エンジンへのボットによるスパム投稿を防ぐために開発。効果は劇的で、スパムを95%削減。
📅2000年 - 学術的確立
カーネギーメロン大学の研究者らが「CAPTCHA」という名称を正式に命名。
📅2007年 - reCAPTCHA登場
ルイス・フォン・アンが創設。単なるセキュリティツールを超えて、古い本や新聞のデジタル化に人間の認証作業を活用する革新的アイデアとなる。
📅2009年 - Google買収
GoogleがreCAPTCHAを買収し、Googleブックスやストリートビューの文字認識精度向上に活用。
📅2014年 - reCAPTCHA v2
「私はロボットではありません」チェックボックス登場。画像選択チャレンジも導入。
📅2018年 - reCAPTCHA v3
ユーザーに何もさせない「見えない認証」を実現。行動パターンをAIで分析してスコア化。
📅現在 - Enterprise版
企業向けの高度なセキュリティ機能を提供
文字読み取り → 画像選択 → 見えない認証、という進化を辿り、セキュリティと使いやすさの両立を目指し続けています。
Googleが提供するreCAPTCHAは、バージョンアップを重ねてきました。
2014年にリリースされたreCAPTCHA v2では、「私はロボットではありません」というチェックボックスのクリックを求め、その際のユーザーの行動(マウスの動きやクリックのタイミングなど)を分析することで人間を識別するようになりました。
さらに、より高度なボットが疑われる場合には、画像内の特定の物体(例:交通信号)を選択させるタスクが追加で提示されることもあります。
・reCAPTCHA による bot 攻撃からの保護とオンライン不正行為の防止よりreCAPTCHA は、スパム、不正使用、不正行為からウェブサイトを保護する強力な bot ブロッカーです。
ユーザーの行動やその他の要素を分析して、アクションが人間によって実行されているのか、bot によって実行されているのかを判断します。
不審なアクティビティが検出された場合、reCAPTCHA は不正アクセスを防ぐために、チャレンジの提示やインタラクションのブロックなどの措置を講じることがあります。
これにより、正規ユーザーへの中断を最小限に抑えながら、ウェブサイトの保護を維持できます。
進化するreCAPTCHA
reCAPTCHA(リキャプチャ)は、私たちがウェブサイトを利用する際に「人間である証明」を求める認証システムです。
その基本的な考え方は「人間には簡単だけど、コンピュータ(ボット)には難しい課題」を出し、自動化された悪意のあるアクセスを防ぐためです。
reCAPTCHA v2
私たちが見慣れた「私はロボットではありません」というシンプルなチェックボックス方式。警視庁サイバーセキュリティ対策本部は注意喚起しているのも、この「reCAPTCHA v2」なんですね。
あなたや私、世界中の人が経験したであろう「私はロボットではありません」のチェックボックス。
実は、このシンプルなクリック一つの背後では、非常に高度な分析が行われています。
- ・マウスカーソルは人間らしい自然な軌道で動いているか
- ・クリックするまでの時間が機械的すぎないか
- ・ページでの滞在時間や行動パターンでの判断
- ・ブラウザの情報や過去のアクセス履歴
多くの場合、この分析だけで人間かボットかを判断でき、チェックボックスをクリックするだけで認証が完了します。
あなたがスマホをタップしたり、パソコンでチェックボックスにカチッとする、ほんのわずかな時間で、一瞬にして「人かロボットか」を判断してしまうのです。
画像選択チャレンジ
チェックボックスだけでは判断できない場合、これまた、おなじみの画像選択が表示されます。
中には、信号機を支えるバーの部分も、信号機として選ばなくちゃいけない画像があって、イラッとさせられることも。
最近ではX(エックス)で、かなり久々に画像選択チャレンジしました。
正直、画像選択チャレンジって、まだやってたんだ・・・と思いました。
- ・信号機が写っている画像をすべて選択してください
- ・横断歩道の画像をすべて選択してください
- ・バスの画像をすべて選択してください
- ・自転車の画像をすべて選択してください
- ・オートバイの画像をすべて選択してください
このような作業は、人間の視覚認識能力と常識的な判断力を必要とするため、現在のAI技術でも完全に自動化はできないとされています。
ちなみにこちらの画像はGeminiに作ってもらいました。
特に詳しく指示しなかったので、どの画像にも信号機が表示されちゃってますね(笑)。
reCAPTCHA v3
革新的な「タスクなし」認証が登場しているんですね。
やはりこの記事を書いて良かった。何らかの記事を書こうとするとき、自分の知識を増やせるというのは単純に嬉しくて、私のモチベの一つになっています。
reCAPTCHA v3では、私たちユーザーは特に何もする必要がないのです。
ウェブサイトを普通に利用しているだけで、背後でシステムが「人間らしさ」を常時監視・評価しています。
なんとこのシステムはあなたの行動を0.0〜1.0のスコアで評価するんですよ?びっくりしちゃいました。ひたすら感心。
- 驚異のスコアリングシステム
- ・0.9〜1.0:確実に人間(正常なユーザー)
- ・0.5〜0.8:おそらく人間(一般的なユーザー)
- ・0.1〜0.4:疑わしい(要注意ユーザー)
- ・0.0〜0.1:ほぼ確実にボット(危険なアクセス)
「おそらく人間」にはちょっと笑ってしまいますが、こんな風に知らぬ間に「人かロボットか」を判断しているとは、恐れ入りますね。
- システムが分析している要素の例
- ・マウスの動き
自然な曲線を描いているか、機械的な直線的動きでないか - ・タイピングのリズム
人間らしい不規則性があるか - ・ページの見方
スクロール速度や停止パターンが自然か - ・サイト内での行動
論理的で人間らしい回遊パターンか - ・時間的要素
ページ読み込みから操作までの時間が適切か
reCAPTCHA Enterprise
更には企業レベルのセキュリティとして「reCAPTCHA Enterprise」もあり、金融機関、ECサイト、政府機関など、より高いセキュリティが求められる組織向けに開発された企業版となっています。
- 追加機能の例として
- ・リアルタイム脅威分析
- ・カスタマイズ可能な判定基準
- ・詳細なレポート機能
- ・API連携
- ECサイトの場合
- ・大量購入や転売目的のボット検知
- ・在庫確保のための自動購入防止
- 金融サービスの場合
- ・不正送金や口座開設の防止
- ・なりすましログインの検知
- チケット販売の場合
- ・転売目的の大量購入防止
- ・公平な販売機会の確保
なぜreCAPTCHAは進化し続けるのか
アタッカーの技術が向上すれば、それに対抗してセキュリティ技術も進化する必要があり、終わることのない技術競争です。
特にこれからは「AI」を使った攻撃を防ぐ対策が急務となっています。
- 進化の背景
- ・AI技術の発達
攻撃側もAIを使って画像認識などを突破しようとする - ・攻撃の多様化
単純なボットから、人間の行動を模倣する高度なボットまで - ・プライバシー意識の高まり
ユーザーに負担をかけない認証方法への需要
reCAPTCHAは今後も進化を続け、私たちユーザーにとってより使いやすく、同時により安全なインターネット環境の実現を目指しています。
今後の展開として、このようなものが考えられます。「生体認証との組み合わせ」実に頼もしいではありませんか。
- 未来への展望生
- ・体認証との組み合わせ
- ・より自然で気づかない認証方法
- ・個人のプライバシーをより保護する仕組み
あなたが日常的に接するreCAPTCHAは、実は最先端のAI技術とセキュリティ技術の結晶なのです。
偽reCAPTCHAの攻撃方法とメカニズム
次に、偽の「私はロボットではありません」の悪用と、その目的をまとめてみたいと思います。
なぜ「偽reCAPTCHA」が存在するのか?多くはフィッシング詐欺やマルウエアなどで、最終目的はお金。
- 目次
- ・フィッシング詐欺への誘導
- ・より危険な手口「ClickFix」の脅威
- ・・攻撃方法
- ・・あなたが自ら危険をおかす仕組み
- ・その他の悪用手口と攻撃者の仕組み
- ・毎日大量に作成する詐欺サイト
- ・・AIでの自動生成も可能な時代
フィッシング詐欺への誘導
偽reCAPTCHAを使った詐欺の最も一般的な手口は、やはりフィッシング詐欺への誘導になります。
私自身も「偽のreCAPTCHA」に先日遭遇したばかりだったんですよ。
お客様への重要なお知らせ:LINEアカウントに関する再認証からの迷惑メール
アタッカーはまず、偽のメールや広告を使ってあなたを偽サイトに誘導します。
そのサイトを開くと、「このサイトにアクセスするにはCAPTCHAを完了してください」という指示が現れ、本物そっくりの見慣れた認証画面が表示されます。
あなたが認証作業を完了すると、今度は正規のサービスとそっくりな偽のログイン画面に移動させられます。
そこであなたのユーザー名やパスワード、クレジットカード情報などを入力してしまうと、その情報はすべてアタッカーに盗まれてしまいます。
結果として、アカウント乗っ取りや、不正利用の被害に遭う可能性があります。
このような詐欺サイトは、HTMLやJavaScriptという技術を使って本物そっくりに作られているため、私たちが危険なサイトにいることに気づくのは非常に困難です。
より危険な手口「ClickFix」の脅威
最近では、偽reCAPTCHAを使ったより巧妙で危険な攻撃手法が登場しています。
警視庁も注意を呼びかけている「ClickFix」という手口は、単に情報を盗むだけでなく、あなたに危険なソフトウェアを実行させる、極悪攻撃です。
攻撃方法
最初の誘導
偽のメールや広告から誘導された詐欺サイトで、「私はロボットではありません」というボタンが表示されます。
悪意のあるコードの植え込み
そのボタンをクリックした瞬間、サイトに隠されていた悪意のあるプログラムが動き出します。
このプログラムは、危険なソフトウェア(マルウェア)をダウンロードするためのコマンドを、私たちのパソコンのクリップボード(コピー&ペーストで使う一時保存場所)に自動的にコピーします。
巧妙な操作指示
その後、画面には以下のような指示が表示されます。
「WindowsキーとRキーを同時に押してください」
「Ctrl+Vを押してください」
「Enterキーを押してください」
これらの指示は一見すると普通のシステム確認作業のように見えるでしょ?
実際には「ファイル名を指定して実行」という機能を開き、先ほどコピーされた危険なコマンドを実行させるための恐ろしい罠なんですよ。
あなたが自ら危険をおかす仕組み
この攻撃の最も危険な点は、あなた自身が「自分のパソコンを危険にさらす操作」を自ら行ってしまうこと。
多くの人は、これらの指示がどれほど危険かをすぐには理解できません。
従来の攻撃では、アタッカーが一方的に情報を盗んでいましたが、この手口ではあなたが「操作を言われたとおりにしてしまう」という人間の心理を悪用して、より積極的にシステムに侵入してきます。
その他の悪用手口と攻撃者の仕組み
偽reCAPTCHAは、他にも様々な悪用方法があります。
例えば、危険なファイルをダウンロードしようとすると、通常はブラウザが警告を表示しますが、アタッカーはあなたにこの警告を無視させる方法も使っています。
具体的には、「B、S、Tab、A、F、Enter」といった特定のキーを順番に押すよう指示し、あなたが無意識のうちに警告をスキップして、危険なファイルをダウンロードしてしまうよう誘導するのです。
毎日大量に作成する詐欺サイト
このような攻撃を支えているのは、攻撃者が毎日大量に作成する新しい詐欺サイトです。
攻撃者は以下のような様々な入り口を用意して、私たちを偽reCAPTCHAサイトに誘導しようとしています。
- ・フィッシングメール
- ・不正な広告
- ・違法な海賊版ゲームサイト
- ・偽の動画サイト
これらさまざまな経路を通じて、あなたは知らずしらずのうちに偽reCAPTCHAの罠に引っかかり、被害に遭ってしまう可能性があるのです。
AIでの自動生成も可能な時代
特に生成AIは、ウェブサイトのコードやコンテンツを自動生成する能力を持っているので、大量の詐欺サイトをあっという間に作れてしまいます。
AIが詐欺サイト作成に利用される主な方法はこんな感じ。
テンプレートの自動生成
AIは、本物のウェブサイトのHTMLやCSSを学習し、似たようなデザインのテンプレートを大量に生成できます。
これにより、詐欺サイトのデザインをいちから手動で作る手間が省かれます。
コンテンツの自動作成
詐欺サイトで使われる「ウイルスに感染しました」といった緊急性を煽る文言や、偽のレビュー、連絡先情報なども、AIが自動で生成できます。
これにより、各サイトのコンテンツをユニークに保ち、検索エンジンの検出を回避しようとします。
多言語対応
AIは、多様な言語でコンテンツを生成できるため、世界中のユーザーをターゲットにした詐欺サイトを簡単に作成できます。
セキュリティ対策の回避
AIは、ウェブセキュリティツールが検出するパターンを回避するようにコードを最適化することも可能です。
【ScamAgent】とは?AIが世界一の詐欺師になるかもしれない
私たちが今日からできる偽reCAPTCHA対策
偽reCAPTCHAを使った攻撃は非常に巧妙で、見慣れた画面でもあるため、どんなに注意深い人でも騙される可能性があります。
しかし、正しい知識と対策を身につければ、被害に遭うリスクを大幅に減らせます。
日常的な習慣をつける
指示に従ってしまうとマルウェア感染という被害に遇うわけですから、「私はロボットではありません」と表示されていても、本物かどうか疑う必要があります。
関連記事にもフィッシング詐欺対策やマルウェア対策を詳しくまとめていますので、よくわからないと感じるなら、この機会に熟読してくださいね。
知識は重荷になりません、この先もあなたを支え続けてくれますよ。
URLをチェックする
フィッシング詐欺の多くは、本物そっくりの偽サイトを使います。
何かのサービスにログインする時は、必ずブラウザ上部のアドレスバーを確認してください。
- ・正しいドメイン名(例:amazon.co.jp、google.com)になっているか
- ・スペルミスがないか(例:「amazon」が「amazom」になっていないか)
- ・不審な長いサブドメインが付いていないか
ブラウザ上部のアドレスバーでURLをチェックする方法は、こちらの画像でわかるでしょうか?
特にスマホ画面で見るアドレスバーは表示範囲が狭いので、しっかり確認しましょう。
- ・上が偽物の佐川急便URL
- https://managerify.k8aoipj.cn/
- ・下が本物の佐川急便URL
- https://www.e-service.sagawa-exp.co.jp/
【偽物佐川急便】ご不在連絡票に記載されている!Web再配達受付サービス!
危険なリンクをクリックする前に!あなたの身を守るURLチェック術
怪しいリンクはクリックしない
身に覚えのないメール、SMS、SNSの広告などのリンクは、たとえ見覚えのあるサービス名が書かれていても安易にクリックしてはいけません。
- ・メールのリンクは使わず、公式アプリや公式サイトに直接アクセスする
- ・本当に重要な通知なら、公式サイトでも同じ内容が確認できるはず
- ・急かすような内容のメールほど疑う
あなた自身で判断できない場合は、ブラウザのタブやウィンドウを強制的に閉じましょう。
「ReCAPTCHA画面が表示されただけ」なら何も起こらないので大丈夫。
フィッシング被害に遇ったら?フィッシングを防ぐ確実な方法とは
危険な罠を見抜け!【SNSフィッシング詐欺】の最新手口と自衛策
巧妙化する【SMSフィッシング】の脅威と対策あなたのスマホは大丈夫?
操作指示に従わない
偽のReCAPTCHA画面では、このような指示がでます。
- ・偽のReCAPTCHAのチェックボックスをクリック
- ・「Windowsキー+R」を押すよう指示
- ・「ファイル名を指定して実行」と表示される
- ・「Ctrl+Vキー」を押しよう指示
- ・「Enter」キーを押すように指示。
覚えておいてほしいのは、正規のサービスが、このような複雑なキーボード操作をユーザーに求めることは絶対にないということです。
もしも偽のReCAPTCHA画面と気づかずにチェックボックスをクリックし、「Windowsキー+R」の指示が出たとしても従わなければ大丈夫。
その指示には絶対に従わず、ブラウザのタブやウィンドウを強制的に閉じましょう。
この記事では「Windows」を例としてあげていますが、OSに関係なく、偽警告はウェブサイトやブラウザの脆弱性を利用して表示されるため、WindowsだけでなくMacのユーザーも標的になります。
またパソコンでもスマホでも起こりえますので、デバイスも関係ありません。
ブラウザやデバイスでの対処法
一応、それぞれの対処法を書いておきますね。
Windowsでの対処法
ブラウザのタブを閉じる
画面上の×ボタンや、タブの×ボタンをクリックしてタブを閉じます。
ブラウザのプロセスを強制終了する
タブが閉じられない場合は、以下の手順でブラウザのプロセス自体を終了させます。
Ctrl + Shift + Escを押して「タスクマネージャー」を起動します。
「プロセス」タブから、使用しているブラウザ(例:Google Chrome、Microsoft Edge)を選択します。
右下の「タスクの終了」ボタンをクリックします。
Macでの対処法
ブラウザの強制終了
画面を閉じられない場合は、キーボードのCommand + Qを押してブラウザを強制終了します。
ブラウザのキャッシュをクリア
再度ブラウザを開く際に、偽の画面が再度表示されないように、履歴やキャッシュをクリアします。
不審な拡張機能の確認
意図せずインストールされた不審なブラウザの拡張機能がないか確認し、あれば削除します。
スマホでの対処法
ブラウザのタブを閉じる
これが最もシンプルで効果的な方法です。タブ一覧から、不審な画面のタブを閉じるだけで、詐欺のページから抜け出せます。
ブラウザを強制終了する
タブが閉じられない場合は、ブラウザアプリ自体を強制終了します。
iPhone
画面下部からスワイプアップして、アプリスイッチャーでブラウザを上にスワイプします。
Android
画面下部の最近使ったアプリボタンをタップし、ブラウザを上にスワイプします。
そして何度も書きますが「絶対に指示に従わない」ということが何よりも大切ですね。
技術的な対策
セキュリティソフトを必ず導入
マルウェア対策ソフトは、コンピュータを守る最初の砦です。
無料のものでも構いませんので、必ず導入して、常に最新の状態に保ちましょう。
定期的な自動スキャン設定
リアルタイム保護の有効化
定義ファイルの自動更新
システムを常に最新に保つ
古いソフトウェアだと攻撃者が狙うセキュリティホールができてしまいます。
面倒でも、以下の更新は必ず行いましょう。
ブラウザ(Chrome、Firefox、Safari等)の更新
各種アプリケーションの更新
AIの進化により、攻撃者の手口はますます巧妙になっています。
見慣れた画面だからこそ疑い、正しい対処法を身につけ、常に自己防衛意識を高く持てば、それらの攻撃を恐れることはないのです。
あなたを守るのはあなた自身。
これを機に、ご家族とも情報を共有して安全なネットライフを楽しんでくださいね。
関連記事
【マルウェア対策】感染の兆候や感染予防まとめ【感染したかも?!】
お客様への重要なお知らせ:LINEアカウントに関する再認証からの迷惑メール
フィッシング被害に遇ったら?フィッシングを防ぐ確実な方法とは