「ロボットですか？人間ですか？」それただのチェックじゃないかも…巧妙化するネット詐欺 今年急増の新たな手口をITジャーナリストが解説

　「私はロボットではありません」という認証画面は、Googleが提供する「reCAPTCHA（リキャプチャ）」というセキュリティサービスで、チェックボックスや画像認証を通じて、操作しているのがbot（自動プラグラム）か人間か判別します。 　三上さんによると、コンピューターによるスパム投稿や不正アクセスなどのサイバー攻撃を防ぐためのものですが、最近それを逆手に取った詐欺が広がっているといいます。

　「クリックフィックス」と呼ばれる新たな手口では、「ロボットではありません」という画面にチェックを入れると、確認ステップと称し、 1．WindowsキーとRを押してください 2．コントロールとVを押してください 3．Enterキーを押してください 　とPCのキーを押すよう指示が出てきます。この偽の指示に従うとマルウェアが実行され、個人情報が抜き取られる恐れがあります。 　マルウェアとは、悪意をもって相手に被害を与えようとするプログラムやソフトウェアの総称で、「トロイの木馬」や「ワーム」が代表的です。「トロイの木馬」とは一見問題のない画像などに偽装して、外部からの指令でそのデバイスを操るもので、「ワーム」は自身を複製して感染させていくものです。

　三上さんによると、クリックフィックス詐欺は去年アメリカで発見された手口で、今年に入って日本でも爆発的に増えており、インターネットやパソコンに詳しい人でも被害に遭う恐れがあるといいます。 　指示されるキー操作にはそれぞれ意味があり、自分自身でマルウェアを入れて実行することにつながるといいます。 　まず、チェックボックスにチェックを入れると、マルウェアがコピーされ、Windowsキーを押しながらRを押すことで、プログラムを実行する画面が開かれます。 　次にCtrlキーを押しながらVを押すことで、マルウェアを実行する命令文が貼り付けられ、Enterキーを押すと実行に移されるという流れです。

　ウイルス対策ソフトなどで防ぐことはできないのでしょうか。 三上さん： 　特にWindowsのコンピュータについては、ウイルス対策ソフトがマストですが無料のもので結構です。Windowsには標準で「Windows Defender（ウィンドウズ ディフェンダー）」が入っているので、それで十分です。 　ただし、クリックフィックスのような複雑な攻撃では、一つ一つ別々のコンピュータウイルス、マルウェアを仕掛けてくるので検知できないことの方が多いです。対策ソフトがあるからといって守れるわけではありません。

　三上さんは、被害に遭ってしまう理由として「面倒くさい作業にみんなが慣れてしまっていることが背景にある」とした上で「Windowsキー＋R」の指示があればすぐに画面を閉じてほしいとしています。 三上さん： 　ロボットか人間か判別するために面倒くさい、ためらわせるような作業で判別しますが、私達は毎回やるうちに「面倒くさいけどしょうがないのか」と慣れてしまっている。そこをうまく突いた攻撃です。 　Windowsキーを押したり、何か2つのボタンを同時に押す指示は通常あり得ないので、こうした指示が出たら詐欺だと思って閉じてください。 （――Q．Macでこういう詐欺はあり得る？） 三上さん：今のところMacでは見つかっていませんが警戒する必要があります。

　一方、スマホで気をつけるべき詐欺もあります。大阪市在住の30代女性、Aさんのケースです。 　今月、知人のBさんから「この度、オンラインインフルエンサープログラムのアンバサダーに立候補しました。もしよかったら投票していただけますか」というダイレクトメッセージが送られてきました。 　メッセージを見たAさんは「どうすればいいですか」と返信。するとBさんから「携帯電話番号をこちらに送信してください。確認コードをお送りします」と返信があり、自分の携帯電話番号を教えると、受信トレイに6ケタの数字が届きました。