※本ページにはプロモーション(広告)が含まれています
結論から先にお伝えします。偽の「私はロボットではありません」画面の指示どおりにWin+Rへ貼り付けて実行してしまった場合、やるべきことは「①ネットワーク切断→②実行内容の確認→③Defenderスキャン→④パスワード変更」の4つです。
サイトを見ていたら本物そっくりの認証画面が出て、「認証を完了するにはWin+Rを押して、Ctrl+Vで貼り付けて、Enterを押してください」という指示に従ってしまった…。それは「ClickFix(クリックフィックス)」と呼ばれる攻撃手口で、あなたは自分の手でマルウェアの実行命令を出してしまった可能性があります。ただし、ここからの初動が早ければ被害を最小限に抑えられます。
この記事では、実行してしまった直後の止血手順から、自分が何を実行したのかをWin+Rの履歴(RunMRUレジストリ)とPowerShellの履歴ファイルから確認する方法、Microsoft Defenderの段階スキャン、そして「抜かれた前提」でのパスワード変更の優先順位まで、時系列で解説します。Enterを押していない・途中で気づいた場合の安全確認も後半にまとめています。
📑 この記事の目次(タップで開く)
この記事でわかること
- 偽の「私はロボットではありません」画面の正体(ClickFix攻撃の仕組みと国内外の被害報告)
- 実行直後の最優先行動(ネットワーク切断)とその理由
- 自分が何を実行したのかを確認する手順(
Win+Rの履歴・PowerShell履歴ファイルの場所と見方) - Microsoft Defenderのフルスキャン→オフラインスキャンの段階実行手順
- パスワード・ログイン状態(Cookie)を「抜かれた前提」で守る優先順位
- 貼り付けただけで
Enterを押していない場合の安全確認 - 会社PCで実行してしまった場合の正しい報告のしかた
状況別の危険度早見表
まず、ご自身の状況がどれに当てはまるかを確認してください。対応の優先度が大きく変わります。
| 状況 | 危険度 | 最優先の行動 |
|---|---|---|
貼り付けてEnterまで押した(実行した) |
高 | この記事の手順1〜5をすべて実施 |
| 実行後、一瞬黒い画面が出てすぐ消えた・何も起きていないように見える | 高 | 「何も起きない」は情報窃取型の典型。手順1〜5をすべて実施 |
貼り付けたがEnterを押す前に閉じた |
低 | 手順6の安全確認(クリップボードの上書きと念のためのスキャン) |
| チェックを入れただけで貼り付けていない | 低 | クリップボードの上書きのみでOK |
| 会社・学校のPCで実行した | 高 | 自分で解決しようとせず、ネットワーク切断→即、情報システム部門へ報告 |

1. 何が起きたのか|偽の「私はロボットではありません」の正体はClickFix攻撃
まず、自分の身に何が起きたのかを正確に理解しましょう。敵の正体が分かれば、この後の手順の意味も理解しやすくなります。
手口の流れ:あなたは「自分の手で」実行させられた
この手口は、セキュリティ業界で「ClickFix」と呼ばれています。典型的な流れは次のとおりです。
- Webサイトを閲覧中に、本物のreCAPTCHAそっくりの「私はロボットではありません」というチェック画面が表示される
- チェックを入れると、「認証を完了するための追加手順」として「①
Win+Rを押す ②Ctrl+Vを押す ③Enterを押す」といったキーボード操作の指示が表示される - 実は、チェックを入れた瞬間に、ページ内の仕掛けによって悪意のあるコマンド文字列がクリップボードへ勝手にコピーされている
- 指示どおりに操作すると、「ファイル名を指定して実行」(
Win+R)に悪意のあるコマンドが貼り付けられ、Enterで実行される - コマンドが外部サーバーからマルウェア本体を取得して起動する
巧妙なのは、ウイルス対策ソフトが監視している「怪しいファイルのダウンロードと実行」ではなく、利用者自身のキーボード操作で実行させる点です。人間の操作が起点になるため、自動的な防御をすり抜けやすいと指摘されています。「認証のためだから」と思わせて、実行の意味を考えさせないよう設計された、心理面を突く攻撃です。
本物のCAPTCHA認証との決定的な違い
ここで、今後のためにも最重要ポイントをお伝えします。正規のCAPTCHA認証(reCAPTCHAなど)が、「Win+Rを押す」「何かを貼り付けて実行する」「ターミナルを開く」といったキーボード操作を求めることはありません。本物が求めるのは、チェックボックスのクリックや「信号機の画像をすべて選択」のような画面内の操作だけです。認証を名目にWindowsのショートカットキー操作を要求された時点で、偽物と判断して構いません。
また、偽物の画面は本物のロゴや配色を細部まで模倣していることが多く、見た目だけで真偽を判別するのは、セキュリティに詳しい人でも難しいとされています。指示文が自然な日本語で書かれていることもあれば、機械翻訳調のこともあり、文章の質も決め手にはなりません。「見た目が本物っぽいか」ではなく、「キーボード操作を要求してくるかどうか」という一点だけで判断する、と覚えておくのが確実です。
どれくらい広がっている手口なのか
ClickFixは2024年ごろから世界的に急増している手口です。報告によると、Microsoftは2025年8月に公開した分析記事の中で、この手口が1日あたり数千台規模の端末に到達しているとしています。また、セキュリティ企業ESETの2025年上半期の脅威レポートでは、ClickFix系の検出数が半年で約6倍(約517%増)となり、フィッシングに次ぐ主要な攻撃経路になったと報告されています。
国内でも、セキュリティ企業のラックが2025年5月に複数の企業で実際の被害を観測したとして注意喚起を出しており、警察庁も2025年10月に、偽の認証画面を使って利用者自身に不正なプログラムを実行させる手口について注意を呼びかけています。この手口で送り込まれるマルウェアとしては、ブラウザに保存されたパスワードなどを盗む「情報窃取型(インフォスティーラー)」の一種であるLumma Stealerなどが確認されたと報告されています。つまり、決して珍しい攻撃ではなく、誰でも遭遇し得る「今まさに流行中」の手口です。引っかかってしまったこと自体を恥じる必要はありません。大切なのはここからの行動です。
どこで遭遇するのか:怪しいサイトだけとは限らない
「そんな画面が出るような危ないサイトを見た覚えはないのに」と感じる方も多いはずです。しかし、偽CAPTCHAの表示場所は、いかがわしいサイトに限りません。報告されている経路には次のようなものがあります。
- 改ざんされた正規のWebサイト(サイト運営者自身も気づいていないケース)
- Web広告の枠を悪用した不正広告からの誘導
- 検索結果の上位に紛れ込ませた偽ページ(ソフトの入手方法や動画の視聴方法などの検索で誘導される例)
- メールやSNSのメッセージに書かれたリンク
つまり「普通のサイトを普通に見ていて遭遇する」ことが十分あり得ます。サイトの見た目の信頼感と、表示される認証画面の真偽は切り離して考える必要があります。
なお、画面全体に「ウイルスに感染しました」という警告と警告音を出し続ける「サポート詐欺」も、偽の画面で人をだます点で兄弟のような手口です。そちらに遭遇した場合の対処は「パソコンの偽セキュリティ警告と警告音が消えない時の対処法」で解説しています。
2. 今すぐやること|ネットワークを切断して被害の拡大を止める
実行してしまった場合の最初の一手は、パソコンをインターネットから切り離すことです。スキャンよりも先に、まず切断してください。
なぜ切断が最優先なのか
ClickFixで送り込まれるマルウェアの多くは、次のいずれかの動きをすると報告されています。
- 収集したパスワードやCookieなどの情報を、外部のサーバーへ送信する
- 追加のマルウェア本体を外部からダウンロードする
- 攻撃者が遠隔操作できる状態を維持する
いずれも「外部との通信」が生命線です。切断すれば、まだ送信されていない情報の流出や、追加の感染・遠隔操作をその時点で止められる可能性があります。実行から切断までの時間は短いほどよいので、この記事の続きはスマートフォンなど別の端末で読むことをおすすめします。
切断の具体的な手順
- Wi-Fi接続の場合:タスクバー右下のネットワークアイコンをクリックし、Wi-Fiをオフにします。見つからない場合は、機内モードをオンにする方法でも構いません(表示位置はWindowsのバージョンにより多少異なります)
- 有線LANの場合:パソコン背面・側面のLANケーブルを物理的に抜きます
- どちらか分からない・操作する余裕がない場合は、ルーターの電源を抜く方法でも通信は止まります(同じネットワークの他の機器もネットが使えなくなる点だけ注意してください)
切断後の注意:電源は切らない・このPCでログインしない
切断後、慌ててシャットダウンや初期化をする必要はありません。特に会社のPCでは、後の調査に必要な痕跡が消えてしまうため、勝手な初期化は避けてください。また、このパソコンでのパスワード変更やネットバンキングへのログインは、駆除が終わるまで行わないでください。情報窃取型マルウェアが残っている状態で新しいパスワードを入力すると、それも抜かれてしまう恐れがあります。パスワード変更はスマートフォンなど別の安全な端末から行います(手順は後述します)。
「切断したら、この後のスキャンもできないのでは」と心配になるかもしれませんが、大丈夫です。次の手順3(実行内容の確認)と手順4のスキャン本体は、インターネットに接続していなくても実行できます。ネット接続が必要になるのは、ウイルス定義ファイルの更新と、パスワード変更の場面くらいで、前者は更新の間だけ最小限の時間で接続し、後者はそもそも別端末から行うのが基本です。切断したままでも初動対応は止まらないので、落ち着いて順番に進めてください。
3. 自分が何を実行したのかを確認する手順
次に、「自分は何を実行してしまったのか」を記録しておきましょう。この確認には3つの意味があります。①会社PCの場合に報告の必須材料になる、②貼り付けた内容が本当に危険なものだったかの判断材料になる、③後で専門窓口へ相談する際の証拠になる、という点です。見つけた文字列は削除せず、スマートフォンで画面を撮影して保存しておくのがおすすめです。
Win+Rの実行履歴(RunMRU)を確認する
「ファイル名を指定して実行」で実行した文字列は、Windowsのレジストリ内にある「RunMRU」という場所に履歴として記録されます。確認方法は2通りあります。
方法1:実行ボックスの履歴プルダウンを見る(かんたん)
Win+Rを押して「ファイル名を指定して実行」を開きます(開くだけなら安全です。Enterは押さないでください)- 入力欄の右端にある「∨」をクリックすると、過去に実行した文字列の一覧が表示されます
- 身に覚えのない長い文字列があれば、それが今回実行してしまったコマンドです。スマートフォンで撮影したら、何も実行せずに「キャンセル」で閉じます
方法2:レジストリエディターで直接確認する(確実)
Win+Rでregeditと入力してEnterを押し、レジストリエディターを起動します(ユーザーアカウント制御が出たら「はい」)- 画面上部のアドレスバーに次のパスを貼り付けて
Enterを押します:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU - 右側に「a」「b」「c」…という名前で、実行した文字列の履歴が表示されます。データの末尾に「\1」のような記号が付いていることがありますが、これは管理用の印で、入力内容の一部ではありません
RunMRUには、実行ボックスから実際に実行した文字列が26件程度まで記録されるとされています。逆に、貼り付けただけで実行せずに閉じた場合は残らないのが一般的です。なお、レジストリエディターでは閲覧と撮影だけにして、値の変更・削除は行わないでください。誤った編集はWindowsの動作に影響する恐れがあります。
PowerShellの履歴ファイルを確認する
ClickFixには、Win+Rではなく「ターミナル」「PowerShell」「コマンドプロンプト」を開かせて貼り付けさせる亜種もあります。PowerShellの画面に直接貼り付けて実行した場合、履歴は次のテキストファイルに記録されるのが一般的です。
- エクスプローラーを開き、アドレスバーに次のパスを貼り付けて
Enterを押します:%APPDATA%\Microsoft\Windows\PowerShell\PSReadLine - フォルダー内の
ConsoleHost_history.txtをメモ帳で開きます - ファイルの下のほうに、直近で実行したコマンドが1行ずつ記録されています
1点補足すると、Win+R経由で実行した場合は、このファイルには記録されず、先ほどのRunMRU側に残るのが一般的です。反対に、PowerShellの画面に貼り付けた場合はこちらに残ります。自分がどちらの画面に貼り付けたかを思い出しながら、両方確認しておくと確実です。また、PowerShellを対話的に使ったことがないパソコンでは、このフォルダーやファイル自体が存在しないこともありますが、それは異常ではありません。
貼り付けた場所別・履歴の確認先まとめ
ここまでの内容を、貼り付けた場所別に整理すると次のようになります。
| 貼り付けた場所 | 履歴の残り先 | 確認方法 |
|---|---|---|
「ファイル名を指定して実行」(Win+R) |
レジストリのRunMRU |
実行ボックスの「∨」、またはregeditで該当パスを開く |
| PowerShell・ターミナル | ConsoleHost_history.txt |
%APPDATA%\Microsoft\Windows\PowerShell\PSReadLine内のファイルをメモ帳で開く |
| コマンドプロンプト | ウィンドウを閉じると履歴は残らないのが一般的 | 確認は困難。スキャンとパスワード変更で対応 |
見つけた文字列の読み方と、履歴が「消えている」場合の考え方
確認した文字列が、powershell・mshta・curl・cmdといった単語で始まり、途中にURLらしき文字列(httpから始まる部分)を含んでいる場合、それは「外部からプログラムを取得して実行する」典型的なClickFixのコマンドです。表示を隠すオプションが付いていることも多く、実行時に画面がほとんど何も表示しないのはそのためです。
注意したいのは、履歴が空でも「実行していない」ことの証明にはならない点です。マルウェアの中には、感染後に自分の痕跡(RunMRUの履歴など)を消す動きをするものが報告されています。「確かに貼り付けて実行したのに履歴がない」という場合は、むしろ警戒度を上げて、次のスキャンとパスワード変更を確実に実施してください。
もう1つ大切な注意点があります。見つけた文字列の中にURLらしき部分があっても、「どんなサイトか確かめよう」とブラウザに入力して開くのは絶対にやめてください。マルウェアの配布元へ自分から再訪問することになってしまいます。また、文字列を選択してコピーすると、悪意のあるコマンドが再びクリップボードに入り、誤って再実行する事故のもとになります。記録は画面の撮影だけにとどめ、文字列そのものには触らないのが安全です。

4. Microsoft Defenderで段階スキャンを実行する(フル→オフライン)
ネットワークを切断し、実行内容の記録も済んだら、Windows標準のMicrosoft Defenderでマルウェアの検出・駆除を行います。ポイントは、通常のスキャンで終わらせず、フルスキャン→オフラインスキャンの2段階で実行することです。なお、以下のメニュー名や画面構成はWindowsのバージョンにより多少異なる場合があります。
ステップ1:フルスキャン
- スタートボタン→「設定」→「プライバシーとセキュリティ」→「Windowsセキュリティ」→「ウイルスと脅威の防止」を開きます(タスクバーの盾アイコンからも開けます)
- 「スキャンのオプション」をクリックします
- 「フルスキャン」を選択し、「今すぐスキャン」をクリックします
フルスキャンはドライブ全体を検査するため、環境によっては1時間以上かかることがあります。時間はかかっても、今回は「クイックスキャン」ではなくフルスキャンを選んでください。なお、ウイルス定義ファイルの更新を求められた場合は、更新の間だけ一時的にネットへ接続し、更新が終わったらすぐ切断してからスキャンを実行する、という手順が現実的です。
ステップ2:Microsoft Defenderオフラインスキャン
フルスキャンの結果にかかわらず、続けてオフラインスキャンを実行することを強くおすすめします。オフラインスキャンはパソコンを再起動し、Windowsが起動する前の専用環境で検査する方式のため、通常のスキャン中は身を隠すタイプのしつこいマルウェアの検出・駆除に有効とされています。
- 同じ「スキャンのオプション」画面で「Microsoft Defenderオフラインスキャン」(表記はバージョンにより多少異なります)を選択します
- 「今すぐスキャン」をクリックすると、作業内容の保存を促すメッセージの後、パソコンが自動的に再起動します
- 再起動後、青系の画面でスキャンが自動実行されます。所要時間は15分程度とされています
- 完了すると自動的にWindowsが起動します。結果は「ウイルスと脅威の防止」内の「保護の履歴」から確認できます
オフラインスキャンの詳しい手順や画面の流れは「Windows Defenderオフラインスキャンでウイルス・マルウェアを完全駆除する方法」で画像付きに近い粒度で解説しているので、初めての方はあわせて参照してください。
スキャン結果の受け止め方:「検出なし」でも安心してはいけない理由
結果の解釈はこうです。
- 検出・駆除された場合:本体の駆除には成功しています。ただし「駆除=解決」ではありません。駆除される前に情報が送信済みの可能性があるため、次のパスワード変更は必ず実施します
- 何も検出されなかった場合:残念ながら「感染していなかった」とは言い切れません。情報窃取型には、実行した瞬間に情報を集めて送信し、自分自身を削除して痕跡を残さない型が報告されています。また、登場直後の新種は定義ファイルが追いついていないこともあります
検出があった場合は、先ほどの「保護の履歴」で脅威の名前と、隔離・削除といった処理結果を確認し、その画面もスマートフォンで撮影しておくことをおすすめします(表示される項目名はバージョンにより多少異なります)。会社への報告や専門窓口への相談の際、検出された脅威名が分かると、状況の説明が格段にスムーズになります。
つまり、どちらの結果でも次の手順(パスワード変更)は省略できません。ここがClickFix対応の最重要ポイントです。
5. パスワードとログイン状態は「抜かれた前提」で変更する
ClickFixで配布されるマルウェアの代表格は、情報窃取型(インフォスティーラー)と呼ばれる種類です。ブラウザに保存されたパスワード・自動入力情報・Cookie(ログイン状態)・仮想通貨ウォレットの情報などを、実行からごく短時間で一括収集して外部へ送信すると報告されています。スキャンで駆除できても、すでに送信された情報は取り戻せません。だからこそ「抜かれた前提」で、影響の大きい順にパスワードを変更していきます。
変更の優先順位:金融→メール→SNS・ショッピングの順
変更作業は、感染が疑われるPCではなく、スマートフォンなど別の端末から行ってください。優先順位は次のとおりです。
| 優先度 | 対象 | 先に変える理由 |
|---|---|---|
| 1位 | 金融系(ネットバンキング・証券・クレジットカード会員ページ・スマホ決済) | 直接の金銭被害に直結するため。あわせて利用明細に不審な取引がないかも確認 |
| 2位 | 主要メール(Google・Microsoftなどのアカウント) | 他のあらゆるサービスの「パスワード再設定」メールの受け皿であり、ここを取られると全アカウントの乗っ取りに波及するため |
| 3位 | ショッピング・SNS(Amazon・楽天・X・LINEなど) | 保存済みカードでの不正購入や、なりすまし投稿・友人への詐欺メッセージ送信に悪用されるため |
| 4位 | その他(サブスク・会員サイトなど) | 上位と同じパスワードを使い回している場合は、同時に変更が必要 |
特に「同じパスワードの使い回し」がある場合、1つ漏れると同じ組み合わせで他のサービスへ機械的にログインを試す攻撃(パスワードリスト攻撃)につながります。使い回しているものは優先度を繰り上げて変更してください。
「どのサービスのパスワードを変えればいいのか思い出せない」という場合は、ブラウザに保存されているパスワードの一覧が、そのまま変更対象のリストになります。ChromeやEdgeなど主要ブラウザには、設定画面から保存済みパスワードの一覧を確認できる機能があります(名称や場所はブラウザやバージョンにより異なります)。情報窃取型に盗まれた可能性が高いのは基本的にこの一覧に載っているアカウントなので、一覧を別端末で書き出し、先ほどの優先順位に沿って上から変更していけば、漏れなく対応できます。
パスワード変更だけでは足りない:Cookie(ログイン状態)の無効化
見落とされがちですが、情報窃取型が盗むのはパスワードだけではありません。ブラウザのCookie、つまり「ログイン済み」という状態そのものも盗まれます。盗んだCookieを使われると、パスワードや二段階認証を経ずにログイン状態を丸ごと再現される恐れがあります。そこで、重要なサービスでは次の2つもセットで行ってください。
- 各サービスのセキュリティ設定にある「すべての端末からログアウト」「他のセッションを終了」に相当する機能を実行する(名称はサービスにより異なります)
- まだ設定していなければ二段階認証(2要素認証)を有効化する
ログイン履歴・アクセス履歴を確認できるサービスでは、見覚えのない端末や場所からのアクセスがないかも確認しておくと安心です。
順番を間違えると振り出しに戻る:「駆除→変更」の鉄則
もう1つ重要なのが順番です。マルウェアが残ったままのPCで新しいパスワードを入力すると、その新しいパスワードもまた盗まれます。「変更したのにまた乗っ取られた」という相談の典型的な原因がこれです。感染疑いのPCは駆除が終わるまでログイン作業に使わない、変更は別端末から、と覚えてください。パスワードを変えても被害が繰り返される仕組みと対策の全体像は「パスワードを変えたのにまた乗っ取られる時の対処法(インフォスティーラーの仕組み)」で詳しく解説しています。
6. Enterを押していない・途中で気づいた場合の安全確認
「指示どおり進めかけたけれど、途中で怪しいと気づいてやめた」という方も多いはずです。どの段階で止まったかで対応が変わります。
どの段階で止まったかを整理する
- チェックを入れただけ(貼り付けていない):コマンドはクリップボードにコピーされただけで、実行はされていません。感染の心配はまずありませんが、後述のクリップボード上書きだけ行ってください
Win+Rに貼り付けたが、Enterを押さずに閉じた:「ファイル名を指定して実行」はEnterまたは「OK」を押さない限り実行されません。Escやキャンセルで閉じたなら実行されておらず、この場合はRunMRUの履歴にも残らないのが一般的です- 貼り付けて
Enterを押した:実行済みです。この記事の手順1〜5をすべて実施してください
クリップボードの上書きとブラウザ側の後始末
実行していなくても、クリップボードには悪意のあるコマンドが残っています。後で何かの拍子に貼り付けて実行してしまう事故を防ぐため、次の2つを行ってください。
- 無害な文字(「あ」など何でも構いません)をどこかでコピーして、クリップボードの中身を上書きする
- クリップボード履歴機能を使っている場合は、
Win+Vで履歴を開いて「すべてクリア」を実行する(履歴機能がオフなら不要です)
あわせて、偽の認証画面が出たタブは閉じて、そのサイトには戻らないでください。不安が残る場合は、念のためDefenderのクイックスキャンを実行しておくと安心です。実行していないのであれば、パスワードの一斉変更までは必須ではありません。
7. うまくいかない時の対処法
ここまでの手順で対応しきれないケース、判断に迷うケースをまとめます。
会社・学校のPCで実行してしまった場合:自分で解決しない
私物のPCと決定的に違うのは、自分だけで解決しようとしてはいけない点です。ネットワーク切断だけ行ったら、できるだけ早く情報システム部門・セキュリティ窓口に報告してください。会社のPCは社内ネットワークを通じて他の端末やサーバーとつながっており、あなたの端末が入口になって被害が広がる恐れがあるためです。報告時に伝える内容は次の4点です。
- 発生日時と、偽の認証画面が出たサイト(分かる範囲で)
- 実行してしまった文字列(手順3で撮影した写真)
- その後に行った操作(切断した時刻、スキャンの有無など)
- そのPCで使っている業務システムやアカウント
勝手な初期化や、許可のないソフトのインストールは、調査の妨げになるため避けてください。報告が遅れるほど調査範囲も被害も広がります。正直な即報告が、結果的に自分にとっても組織にとっても最善です。
初期化(クリーンインストール)を検討すべきケース
私物PCで次のような状況なら、Windowsの初期化が最も確実な選択肢になります。
- スキャンで検出と駆除を繰り返す・駆除後も不審な動作(勝手な再起動、見覚えのない通信や広告など)が続く
- オフラインスキャンまで実施しても不安が拭えない・そのPCでネットバンキングなど重要な操作をする必要がある
初期化の前に、写真や文書などのデータだけをUSBメモリや外付けドライブへ退避します。このとき、プログラムファイル(実行ファイル)はコピーしないでください。データ退避後、「設定」→「システム」→「回復」から「このPCをリセット」で「すべて削除する」を選ぶ方法が基本です(メニュー名はバージョンにより異なる場合があります)。なお、初期化してもすでに漏れた情報は戻らないため、手順5のパスワード変更は初期化とは別に必ず実施してください。
公的な相談窓口・金銭被害が出た場合
判断に迷う場合や実害が出た場合は、1人で抱え込まず次の窓口に相談してください。
- IPA(情報処理推進機構)情報セキュリティ安心相談窓口:ウイルス感染・不審画面全般の相談先
- 警察相談専用電話
#9110・各都道府県警察のサイバー犯罪相談窓口:金銭被害や乗っ取りなど事件性がある場合 - カード会社・銀行:不審な取引を見つけたら、真っ先に連絡して利用停止・調査を依頼
相談の際は、手順3で撮影した実行文字列の写真と、遭遇した日時・サイト・その後に行った操作のメモがあると、説明が格段にスムーズになります。「うまく説明できる自信がない」という方も心配はいりません。窓口の担当者が状況を聞き取りながら整理してくれるので、分かる範囲の情報だけで十分相談できます。

8. 再発防止|同じ手口に二度と引っかからないために
最後に、今回の経験を「二度と踏まない知識」に変えましょう。ClickFixは今後も画面のデザインや口実(CAPTCHA認証、動画の再生エラー、会議ツールの参加確認など)を変えながら続くと考えられています。見た目ではなく、要求される操作で見抜くのがコツです。
- 「認証のためにキーボード操作」は100%偽物と覚える:本物の認証が
Win+R・貼り付け・ターミナル起動を求めることはありません。この指示を見た瞬間にページを閉じるのが正解です - コピーした覚えのないものを貼り付けない:クリップボードに勝手に何かが入る仕掛け自体が攻撃のサインです
- ブラウザへのパスワード保存を見直す:ブラウザの保存パスワードは情報窃取型の最優先ターゲットです。少なくとも金融系はブラウザに保存しない運用を検討してください
- OS・ブラウザを最新に保つ:自動更新を有効にし、既知の弱点を塞いでおきます
- 家族や周囲にも共有する:この手口は誰のパソコンにも表示され得ます。「認証と称してキーボード操作を求められたら偽物」という合言葉を家族や職場に伝えておくと、身近な人の被害も防げます
- 兄弟手口も知っておく:全画面の偽警告型(サポート詐欺)の対処はこちらの記事で確認できます
ここまでに紹介した切断・履歴確認・スキャン・パスワード変更は、すべて無料でできる対処です。これで解決した方は、新たに何かを購入する必要はありません。その上で、「次に危険なサイトを開いてしまう前に警告してほしい」「一度漏れたかもしれない情報が、この先悪用されないか監視したい」という方には、危険サイトの事前ブロック機能と、流出情報の監視(ダークウェブモニタリング)機能を備えた有料のセキュリティソフトを導入するという選択肢があります。事後のスキャンでは取り戻せない「漏れた後」までカバーできるのが、標準機能との違いです。
【PR】
スキャンで駆除できても、すでに漏れた情報が心配な場合
まずはネットワーク切断・実行内容の確認・フルスキャン・パスワード変更を行ってください。ここまでは無料でできます。この手口で入り込む不正プログラムには、実行した瞬間に保存済みのパスワード等を抜き取るタイプがあり、後からの駆除では「すでに漏れた情報」までは戻せません。漏えいした情報が悪用されていないかを継続的に見張る備えとして、ダークウェブモニタリングを含むセキュリティソフトが選択肢になります。ただし、すべての漏えい・悪用を検知できるとは限りません。機能・料金は変動するため、最新の情報は公式サイトでご確認ください。
【PR】この見出し内のリンクは広告(アフィリエイト)です。
🛒 関連商品をチェック(Amazon・楽天市場)
9. よくある質問(FAQ)
Q1. 貼り付けましたが、Enterは押していません。感染していますか?
「ファイル名を指定して実行」は、Enterまたは「OK」を押さない限りコマンドを実行しません。貼り付けた時点では入力欄に文字列が入っただけで、パソコン側では何の処理も始まっていないと考えられます。Escやキャンセルで閉じたのであれば、実行はされていないと判断してよいでしょう。クリップボードに残ったコマンドを無害な文字のコピーで上書きし、クリップボード履歴(Win+V)を使っている場合は履歴もクリアしてください。不安なら念のためクイックスキャンを実行すれば十分です。
Q2. 実行した後すぐ画面を閉じました。何も起きていないように見えますが大丈夫ですか?
残念ながら「何も起きない」は安心材料になりません。情報窃取型マルウェアは、画面に何も表示せず短時間で情報収集と送信を終え、自分自身を削除する設計のものが報告されています。むしろ「静かであること」がこの手口の特徴です。実行してしまったのであれば、見た目の異常の有無にかかわらず、切断→スキャン→パスワード変更まで実施してください。
Q3. Macでも同じ手口はありますか?
あります。Macの「ターミナル」にコマンドを貼り付けて実行させ、Mac向けの情報窃取型マルウェアに感染させる亜種が2025年に報告されています。MacにはWin+Rに相当する画面がないため、Spotlight検索などからターミナルを開かせる形の誘導が使われると報告されており、OSが違っても「操作を要求してくること」自体が見分けるポイントになる点は共通です。「認証のためにターミナルへ貼り付けて実行してください」という指示は、OSを問わずすべて偽物と考えてください。Macで実行してしまった場合も、考え方は同じです(ネット切断→パスワード変更を別端末から)。
Q4. 会社のPCでやってしまいました。誰に、どう報告すればいいですか?
情報システム部門またはセキュリティ担当窓口へ、できるだけ早く報告してください。伝えるのは「日時・遭遇したサイト・実行した文字列(写真)・その後の操作」の4点です。叱責を恐れて報告を遅らせると、調査範囲と被害が広がり、かえって深刻な事態になります。多くの組織では、素早い自己申告はむしろ適切な行動として扱われます。勝手に初期化・駆除して痕跡を消すことだけは避けてください。
Q5. 初期化までする必要はありますか?
一律に必須ではありません。フルスキャンとオフラインスキャンの両方で検出がなく、動作にも異常がなければ、そのまま様子を見る判断も現実的です。ただし、検出が繰り返される場合や、不審な動作が続く場合、そのPCで金融取引など重要な操作をする場合は、初期化が最も確実です。自分だけで判断がつかないときは、IPAの相談窓口に状況を伝えて、判断材料をもらうのも1つの方法です。なお、初期化してもすでに漏れた情報は戻らないため、パスワード変更は初期化の有無にかかわらず必要です。
Q6. ネットバンキングやクレジットカードは止めるべきですか?
実行してしまった場合、まず別端末から利用明細とログイン履歴を確認し、パスワードを最優先で変更してください。少しでも不審な取引があれば、すぐにカード会社・銀行へ連絡して利用停止と調査を依頼します。多くの金融機関には不正利用時の補償制度がありますが、適用条件や申請期限は各社で異なるため、必ず公式の案内で確認してください。心当たりの取引がなくても、数週間は明細の確認頻度を上げることをおすすめします。
Q7. 偽の認証画面が出たサイトは、どこに報告すればいいですか?
個人でできる報告先としては、IPAの情報セキュリティ安心相談窓口のほか、GoogleやMicrosoftが用意している危険サイトの報告フォーム(セーフブラウジングやSmartScreenへの報告機能)があります。ブラウザによってはメニューから直接「安全でないサイトを報告」できる場合もあります。普段は安全なサイトが改ざんされて偽画面を出しているケースもあるため、よく使うサイトで遭遇した場合は、そのサイトの運営者に知らせるのも有効です。報告は義務ではありませんが、危険サイトとして登録されれば同じ画面を見る人が減るため、次の被害者を出さないことにつながります。
Q8. いつまで再感染や不正ログインを警戒すべきですか?
明確な期限はありませんが、漏れた情報は直後ではなく数週間〜数か月後に悪用されるケースも報告されています。少なくとも2〜3か月は、①金融系の明細確認、②主要サービスのログイン通知・ログイン履歴の確認、③心当たりのない「パスワード再設定」メールへの警戒、を続けてください。二段階認証を有効にしておけば、仮にパスワードが漏れていても不正ログインの大半はブロックできます。
10. まとめ
最後に、この記事の要点を整理します。
- 偽の「私はロボットではありません」でキーボード操作をさせる手口は「ClickFix」と呼ばれる攻撃で、チェックを入れた時点でクリップボードに悪意のあるコマンドが仕込まれています
- 実行してしまったら、最初の一手はネットワーク切断です(情報送信・追加感染・遠隔操作を断つ)
- 何を実行したかは、
Win+Rの履歴(レジストリのRunMRU)またはPowerShellの履歴ファイル(ConsoleHost_history.txt)で確認し、写真で記録します - Defenderはフルスキャン→オフラインスキャンの2段階で実行します。ただし「検出なし=安全」ではありません
- パスワードは「抜かれた前提」で、金融→メール→SNS・ショッピングの順に別端末から変更し、「すべての端末からログアウト」と二段階認証もセットで行います
Enterを押していなければ実行はされていません。クリップボードの上書きだけ忘れずに- 会社PCの場合は自分で解決せず、切断→即報告が鉄則です
そして、今後のための合言葉はただ1つ。「本物の認証が、キーボード操作を求めることはない」。この一文さえ覚えておけば、ClickFixがどんな見た目に化けても見抜けます。今回の対処、最後までお疲れさまでした。この記事が、被害を最小限に食い止める助けになれば幸いです。
minto.tech スマホ(iPhone/Android)・パソコン(Windows/Mac)・Office・Wi-Fi・AIツールの「できない」「困った」を解決する実用ガイド。トラブル対処法とノウハウが満載のお助けサイトです。