誰もが避けられない“認証”操作が攻撃ポイントに？　ESETが偽CAPTCHAの脅威と対策を解説：2024年には20億件以上の認証情報が窃取

　Webサイトはbotを抑止するために、機械には判別しにくいゆがんだ文字や特定の画像を選ぶといった「CAPTCHAチャレンジ」をよく使用する。現在、インターネットトラフィック全体の半数以上をbotが占めており、そのうちの4割は悪意あるものと考えられている。ソーシャルメディアへの扇動的な投稿から、分散型サービス妨害（DDoS）攻撃、さらには過去に漏えいしたパスワードを用いたオンラインアカウントの乗っ取りなど、さまざまな手口で悪用されている。

　その代表的な手口が、最近猛威を振るっているソーシャルエンジニアリング攻撃の「ClickFix」だ。ClickFixは偽のCAPTCHA画像を用いて「インフォスティーラー」（情報窃取型マルウェア）やランサムウェア（身代金要求型マルウェア）、「クリプトマイナー」（第三者のPCを乗っ取って仮想通貨を発掘）、リモートアクセス型「トロイの木馬」、さらには国家が支援する脅威アクターが配布するマルウェアまで、多様な脅威を拡散する。

CAPTCHAを悪用した脅威が成立する理由

　CAPTCHAが攻撃手段として悪用される背景には、以下のような心理的、行動的要因が挙げられる。

• ユーザーがCAPTCHAプロセスに慣れており、無意識に安全性を信頼している
• 目当てのWebコンテンツに早くアクセスしたい気持ちが強く、CAPTCHAチャレンジの指示に従いやすい
• オンライン決済時など、本人確認のための複数のステップ（クリック）に慣れていることを悪用する
• 悪意ある活動を正規の「Windows」ツールで実行することで検出を逃れる

CAPTCHAを悪用した脅威はどのようなものか

　悪意あるCAPTCHAに遭遇する経路はさまざまだ。フィッシングメールやテキストメッセージ、ソーシャルメディアのメッセージに含まれる悪意あるリンクを、うっかりクリックしてしまうのもその一つだ。脅威アクターは生成AI（人工知能）の活用によって、こうした攻撃を大規模化したり、極めて自然な文章を複数の言語で展開したりするようになっている。

　ハッカーが悪意ある広告やコンテンツを仕込んだ正規サイトをユーザーが訪れる場合もある。これらは特に危険だ。ユーザーの操作なしでマルウェアがダウンロードされるからだ。手遅れになるまで、問題の発生に気付かないかもしれない。

偽reCAPTCHAの例（出典：ESET Threat Report H1 2025）

　この例の偽CAPTCHA画面は本物らしく見えるが、通常のCAPTCHAタスク（類似画像の特定や、難読化されたテキストの入力など）ではなく、次のような一連の操作を要求する。

• 人間であることを証明するにはクリックしてください
• ［Windows］+［R］キーを押して「ファイル名を指定して実行」を開く
• ［CTRL］+［V］キーを押す（マルウェアによってひそかにクリップボードにコピーされたコマンドを「ファイル名を指定して実行」フィールドに貼り付ける）
• ［ENTER］キーを押す（フィールドに貼り付けられたコマンドを実行する）

　このようにして実行される多くのコマンドは、「Windows PowerShell」や「mshta.exe」といった正規のWindowsツールを起動させ、外部サーバから追加の悪意あるペイロードをダウンロードさせる。最終目的は、ユーザーのデバイスにインフォスティーラーなどをダウンロードし、感染させることだ。

　インフォスティーラーは、デバイスからユーザーの認証情報やその他の機密データを窃取するために使用される。これらのデータはダークWebで販売されたり、ID詐欺に使われたりする。

　脅威データおよびインテリジェンス企業のFlashpointが2025年3月に発表した調査によると、2024年には少なくとも2300万人が被害に遭い、20億件以上の認証情報がWindowsシステムから盗まれた。最も広く使われているMaaS（Malware as a Service）型インフォスティーラーの一つである「Lumma Stealer」は、1000万台ものデバイスを侵害した。ただし、ESETも関与した国際的な対策によって、Lumma Stealerの脅威は既に駆逐されている。

　また、偽CAPTCHAによりリモートアクセス型トロイの木馬がインストールされる可能性もある。これは、インストール先のマシンに攻撃者がリモートアクセスするために使用される。

偽CAPTCHAの脅威から守るには

　ESETは、インフォスティーラーやRAT（Remote Access Trojan）、その他の脅威から自衛するために、以下の対策を勧めている。

• （本文で挙げたような）不審なCAPTCHA操作要求に警戒する
• 脈絡なく突然表示されるCAPTCHA画面に注意する
• 常にOSとブラウザを最新の状態に保つ
• 信頼できるベンダーのセキュリティソフトウェアをインストールし、最新の状態に保つ
• 海賊版ソフトウェアをダウンロードしない（偽CAPTCHAを配信するマルウェアが含まれている可能性があるため）
• 広告ブロッカーの使用を検討する

偽CAPTCHAにだまされた場合の対処法

　万が一、偽CAPTCHAの指示に従って前述のような不正なコマンドを実行してしまった場合は、迅速に以下の対応を実施する。

• マルウェアスキャンを実行し、侵入したマルウェアを検出し、削除する
• マシンをインターネットから切断し、重要な写真やファイルをバックアップする
• マシンを工場出荷時の状態に初期化する
• パスワードマネジャーを活用し、全パスワードを強力なものに変更する
• 全アカウントで多要素認証（MFA）を有効にする