📋 この記事でわかること
⚠️ PCが突然ブルースクリーンになったら、あなたはどうする?
実はそれ、ウイルスの罠かもしれない。
2026年1月、セキュリティ企業Securonixが新型マルウェア「PHALT#BLYX」を発見した。偽のブルースクリーンでユーザーをパニックに陥れ、自分自身の手でウイルスを実行させるという巧妙な手口だ。しかもロシア系ハッカーの関与が指摘されており、日本でも被害が確認されている。
偽ブルースクリーンとは?「PCが壊れた」と思わせる罠
💡 結論
Windowsの「死のブルースクリーン」を完璧に偽装した画面がブラウザに表示され、ユーザーを騙す新型マルウェアが発見された。
ブルースクリーン(BSOD)といえば、Windowsユーザーなら誰もが恐れる青い画面だ。PCに深刻なエラーが発生したときに表示され、「パソコンが壊れた」と思わせる効果は絶大。攻撃者はこの心理を巧みに利用している。
今回発見された偽ブルースクリーンは、本物と見分けがつかないほど精巧に作られている。Securonixの報告によると、正規のBooking.comのブランドカラー、ロゴ、フォントを完璧に再現した偽サイトに誘導し、そこからブラウザをフルスクリーン表示にして偽のブルースクリーンを表示するという。
本物と偽物はどう違うのか?
🔍 決定的な違い
本物のブルースクリーンには「電話番号」や「操作の指示」は表示されない。エラーコードと「PCを再起動しています」というメッセージが出るだけだ。
一方、偽物は「この問題を解決するには以下の手順を実行してください」と具体的な操作を促してくる。
あなたのPCにブルースクリーンが表示されたとき、「電話しろ」「キーボードを押せ」という指示があったら、それは100%偽物だ。
では、この偽画面を見たユーザーは、どうやって「自分で」ウイルスを実行してしまうのだろうか?
感染の仕組み|なぜ「自分で」ウイルスを実行してしまうのか
⚠️ 重要ポイント
攻撃者は「ClickFix」という手法で、ユーザー自身にWindowsのコマンドを実行させる。セキュリティソフトが検知できないのは、「ユーザーが自分で操作した」と判断されるからだ。
この攻撃が恐ろしいのは、従来のマルウェアとは根本的に異なる点にある。通常のウイルスは「勝手にダウンロードされて感染する」ものだが、この攻撃では「ユーザー自身が自分の手でウイルスを実行する」よう誘導される。
攻撃の流れを5ステップで追体験
予約キャンセルを装ったメールが届く
「あなたの予約がキャンセルされました。€1,000以上(約16万円)の請求が発生しています」という内容。いきなり16万円と言われたら、誰でも焦る。
偽サイトへ誘導
メール内のリンクをクリックすると、本物そっくりの偽Booking.comサイトに飛ばされる。
偽CAPTCHA認証が表示
「私はロボットではありません」の認証画面。ここまでは普通の流れに見える。
突然ブルースクリーンに変わる
「問題を解決するには、Windowsキー+Rを押して、Ctrl+Vで貼り付けてEnterを押してください」と指示が出る。
ウイルス感染
指示通りに操作すると、裏でクリップボードにコピーされていた悪意のあるコマンドが実行される。ウイルスがダウンロードされ、PCが乗っ取られる。
なぜセキュリティソフトは止められないのか?
この攻撃が巧妙なのは、「ユーザーが自分で操作した」という点だ。セキュリティソフトは「外部からの不正アクセス」は検知できるが、「ユーザー自身の操作」は正常な動作として見逃してしまう。
💻 Living off the Land(環境寄生型)攻撃とは
この攻撃はWindows標準のツール「MSBuild.exe」を悪用する。正規のWindowsプログラムを使うことでウイルス検知をすり抜ける手法で、近年増加している。
感染後はどうなるのか。「DCRat」という遠隔操作ウイルスがインストールされ、キーボード入力の記録、画面の監視、追加のウイルス投下が可能になる。最悪の場合、仮想通貨のマイニングに使われることも確認されている。
ここまで読んで「自分は騙されない」と思った人もいるだろう。では、本物と偽物を見分ける方法を紹介する。
見分け方と対策|「Win+Rを押せ」は100%詐欺
✅ 結論から言うと
「Windowsキー+Rを押せ」と指示された時点で100%詐欺だ。
正規のサービスがこの操作を要求することは絶対にない。
Windowsキー+Rは「ファイル名を指定して実行」というダイアログを開くショートカットだ。一般ユーザーが日常的に使う機能ではなく、システム管理者が使う専門的なもの。正規のWebサービスやCAPTCHA認証がこの操作を求めることはありえない。
覚えておくべき3つの見分け方
ブルースクリーンに「電話番号」や「操作指示」が出たら偽物。本物は再起動を促すだけ。
「Win+R」「PowerShellを開いて」「コマンドを貼り付けて」という指示は100%詐欺。
ブラウザ上で表示されるブルースクリーンは偽物。本物はWindows自体がクラッシュしたときにしか出ない。
今すぐできる対策
👤 個人向け
怪しい画面が出たら、まず「Escキー」を押してみる。偽のブルースクリーンはブラウザのフルスクリーン表示なので、Escで解除できることが多い。解除できなければ「Ctrl+Alt+Delete」でタスクマネージャーを開き、ブラウザを強制終了する。
🏢 企業向け
トレンドマイクロやLACなどのセキュリティ企業は、PowerShellの実行制限をグループポリシーで設定することを推奨している。また、EDR(エンドポイント検知・対応)製品の導入も有効だ。
🇯🇵 日本でも被害が確認されている
日本国内でも、セキュリティ監視サービスJSOCが2025年5月時点でClickFix被害を複数観測している。「海外の話」ではないのだ。
対策を知ったところで、この攻撃の背景にある「国家レベルの脅威」についても知っておこう。
なぜホテル業界が狙われるのか?ロシアとの関連
この攻撃はヨーロッパのホテル・旅館業界をピンポイントで狙っている。背景にはロシア系ハッカーの関与があり、北朝鮮やイランも同様の手口を使い始めている。
なぜホテルなのか?
理由は明確だ。ホテルのフロントスタッフは毎日大量の予約メールを処理している。「予約キャンセル」「高額請求」といった内容は日常業務の一部であり、一通一通を疑うことは難しい。しかも秋から冬にかけての繁忙期は特に忙しく、注意力が散漫になりやすい。
攻撃者はこの「業務の隙間」を狙っている。
ロシアとの関連
Securonixの分析によると、このマルウェアにはロシア語のデバッグ文字列が含まれていた。また、最終的にインストールされる「DCRat」は、ロシアのアンダーグラウンドフォーラムで販売されているツールだ。
🌐 国家支援型攻撃への発展
さらに注目すべきは、2025年に入ってから北朝鮮、イラン、ロシアの国家支援型ハッカーグループがClickFix攻撃を採用し始めたことだ。トレンドマイクロの報告によると、この手口は「成功率が高い」「技術的なハードルが低い」ことから、国家レベルの攻撃者にも広まっている。
感染した場合、被害は「自分のPC」だけにとどまらない。企業ネットワークに侵入され、顧客情報や決済データが流出する可能性がある。ホテル業界にとっては、信用問題に直結する深刻な脅威だ。
まとめ
偽ブルースクリーンを使ったマルウェア「PHALT#BLYX」は、ユーザー自身に操作させることでセキュリティソフトをすり抜ける巧妙な手口だ。
📌 覚えておくべきこと
・「Win+Rを押せ」と言われたら100%詐欺
・本物のブルースクリーンに電話番号や操作指示は出ない
・怪しい画面が出たらまず「Escキー」を押す
あなたは今日、ブルースクリーンを見ても冷静でいられるだろうか?
この手口は2024年6月から急速に広まり、わずか1年半で世界中に拡大した。日本でも被害が確認されており、国家支援型のハッカーグループも使い始めている。セキュリティソフトだけでは防げない時代が来ている。
最大の防御は「知ること」だ。この記事を読んだあなたは、もう騙されないはずだ。
よくある質問(FAQ)
リアルタイムニュース.com 編集部
最新ニュースをわかりやすく、いち早くお届けします。
参考文献
- Yahoo!ニュース(ZDNET Japan)- 偽の「ブルースクリーン」でユーザーをだます新たなマルウェアに注意
- ZDNET Japan - 偽の「ブルースクリーン」でユーザーをだます新たなマルウェアに注意
- Securonix - Analyzing PHALT#BLYX: How Fake BSODs and Trusted Build Tools Are Used to Construct a Malware Infection
- BleepingComputer - ClickFix attack uses fake Windows BSOD screens to push malware
- The Record - Russian hackers target Europe's hospitality industry with fake blue screens
- トレンドマイクロ - ClickFix攻撃の詳細と対策
- LAC WATCH - ClickFix攻撃に関する注意喚起
