誰もが避けられない“認証”操作が攻撃ポイントに? ESETが偽CAPTCHAの脅威と対策を解説:2024年には20億件以上の認証情報が窃取
ESETは偽CAPTCHAの脅威と対策を公式ブログで解説した。Webサイト閲覧時に“CAPTCHAチャレンジ”を求められることがあるが、指示に従順過ぎるとトラブルに巻き込まれる可能性が高い。
ESETは2025年7月24日(スロバキア時間)に公式ブログで、偽CAPTCHAの脅威と対策について解説した。
多くのユーザーはWebサイト閲覧時にCAPTCHAチャレンジに直面すると、煩わしいとは思いながらも「自分がbotではない」ことを証明するために、画面の指示に従ってクリックしてしまう。だが、その画面自体が偽物で、ユーザーを深刻なトラブルに陥れる可能性もある。
CAPTCHAの目的と悪用される実態
Webサイトはbotを抑止するために、機械には判別しにくいゆがんだ文字や特定の画像を選ぶといった「CAPTCHAチャレンジ」をよく使用する。現在、インターネットトラフィック全体の半数以上をbotが占めており、そのうちの4割は悪意あるものと考えられている。ソーシャルメディアへの扇動的な投稿から、分散型サービス妨害(DDoS)攻撃、さらには過去に漏えいしたパスワードを用いたオンラインアカウントの乗っ取りなど、さまざまな手口で悪用されている。
その代表的な手口が、最近猛威を振るっているソーシャルエンジニアリング攻撃の「ClickFix」だ。ClickFixは偽のCAPTCHA画像を用いて「インフォスティーラー」(情報窃取型マルウェア)やランサムウェア(身代金要求型マルウェア)、「クリプトマイナー」(第三者のPCを乗っ取って仮想通貨を発掘)、リモートアクセス型「トロイの木馬」、さらには国家が支援する脅威アクターが配布するマルウェアまで、多様な脅威を拡散する。
CAPTCHAを悪用した脅威が成立する理由
CAPTCHAが攻撃手段として悪用される背景には、以下のような心理的、行動的要因が挙げられる。
- ユーザーがCAPTCHAプロセスに慣れており、無意識に安全性を信頼している
- 目当てのWebコンテンツに早くアクセスしたい気持ちが強く、CAPTCHAチャレンジの指示に従いやすい
- オンライン決済時など、本人確認のための複数のステップ(クリック)に慣れていることを悪用する
- 悪意ある活動を正規の「Windows」ツールで実行することで検出を逃れる
CAPTCHAを悪用した脅威はどのようなものか
悪意あるCAPTCHAに遭遇する経路はさまざまだ。フィッシングメールやテキストメッセージ、ソーシャルメディアのメッセージに含まれる悪意あるリンクを、うっかりクリックしてしまうのもその一つだ。脅威アクターは生成AI(人工知能)の活用によって、こうした攻撃を大規模化したり、極めて自然な文章を複数の言語で展開したりするようになっている。
ハッカーが悪意ある広告やコンテンツを仕込んだ正規サイトをユーザーが訪れる場合もある。これらは特に危険だ。ユーザーの操作なしでマルウェアがダウンロードされるからだ。手遅れになるまで、問題の発生に気付かないかもしれない。
この例の偽CAPTCHA画面は本物らしく見えるが、通常のCAPTCHAタスク(類似画像の特定や、難読化されたテキストの入力など)ではなく、次のような一連の操作を要求する。
- 人間であることを証明するにはクリックしてください
- [Windows]+[R]キーを押して「ファイル名を指定して実行」を開く
- [CTRL]+[V]キーを押す(マルウェアによってひそかにクリップボードにコピーされたコマンドを「ファイル名を指定して実行」フィールドに貼り付ける)
- [ENTER]キーを押す(フィールドに貼り付けられたコマンドを実行する)
このようにして実行される多くのコマンドは、「Windows PowerShell」や「mshta.exe」といった正規のWindowsツールを起動させ、外部サーバから追加の悪意あるペイロードをダウンロードさせる。最終目的は、ユーザーのデバイスにインフォスティーラーなどをダウンロードし、感染させることだ。
インフォスティーラーは、デバイスからユーザーの認証情報やその他の機密データを窃取するために使用される。これらのデータはダークWebで販売されたり、ID詐欺に使われたりする。
脅威データおよびインテリジェンス企業のFlashpointが2025年3月に発表した調査によると、2024年には少なくとも2300万人が被害に遭い、20億件以上の認証情報がWindowsシステムから盗まれた。最も広く使われているMaaS(Malware as a Service)型インフォスティーラーの一つである「Lumma Stealer」は、1000万台ものデバイスを侵害した。ただし、ESETも関与した国際的な対策によって、Lumma Stealerの脅威は既に駆逐されている。
また、偽CAPTCHAによりリモートアクセス型トロイの木馬がインストールされる可能性もある。これは、インストール先のマシンに攻撃者がリモートアクセスするために使用される。
偽CAPTCHAの脅威から守るには
ESETは、インフォスティーラーやRAT(Remote Access Trojan)、その他の脅威から自衛するために、以下の対策を勧めている。
- (本文で挙げたような)不審なCAPTCHA操作要求に警戒する
- 脈絡なく突然表示されるCAPTCHA画面に注意する
- 常にOSとブラウザを最新の状態に保つ
- 信頼できるベンダーのセキュリティソフトウェアをインストールし、最新の状態に保つ
- 海賊版ソフトウェアをダウンロードしない(偽CAPTCHAを配信するマルウェアが含まれている可能性があるため)
- 広告ブロッカーの使用を検討する
偽CAPTCHAにだまされた場合の対処法
万が一、偽CAPTCHAの指示に従って前述のような不正なコマンドを実行してしまった場合は、迅速に以下の対応を実施する。
- マルウェアスキャンを実行し、侵入したマルウェアを検出し、削除する
- マシンをインターネットから切断し、重要な写真やファイルをバックアップする
- マシンを工場出荷時の状態に初期化する
- パスワードマネジャーを活用し、全パスワードを強力なものに変更する
- 全アカウントで多要素認証(MFA)を有効にする
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
VPNから侵入したランサムウェア攻撃、内部不正による情報漏えいなど、皆がよく知るインシデントについて大阪大学 猪俣教授が語り続ける意味
2025年5月28日、ITmedia Security Week 2025 春で、大阪大学 D3センター 教授 CISOの猪俣敦夫氏が基調講演に登壇。「セキュリティインシデントを他人事にしてはならない―実際の事例から見えたこと―」と題して講演した。
ドメイン名まで確認する人でも引っ掛かる? チェック・ポイントが新たなフィッシング詐欺の注意喚起
チェック・ポイント・ソフトウェア・テクノロジーズは、偽装URLを使ったフィッシング詐欺の新たな手口が拡大していると注意を促した。この手口は、URL情報を悪用してフィッシングリンクを難読化させるもので、ほとんどのユーザーは危険性を見抜けないという。
業務利用するApple製品のセキュリティってどうなの? Jamfがレポートを発表
Jamfは、Apple製品のセキュリティに注目したレポート「2025年版セキュリティ360レポート」を発表した。世界90カ国、140万台以上の端末データを分析し、近年の攻撃傾向やセキュリティ課題、求められる対策をまとめている。