「CAPTCHA」認証を悪用した攻撃に警鐘–その仕組みと対応策は？

今回は「「CAPTCHA」認証を悪用した攻撃に警鐘–その仕組みと対応策は？」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　執拗なマルウェア攻撃者らは、被害者からデータを盗み取る手段の一つとして、広く使われている「CAPTCHA」認証の仕組みを悪用している。

　セキュリティ企業Malwarebytesの報告書が指摘するように、そのやり口は、人々がCAPTCHA認証の手順を深く考慮せず実行する傾向を利用している。

　例えば、映画や音楽、写真、ニュースなど、さまざまなコンテンツを提供するウェブサイトにたどり着く。そうすると、CAPTCHA認証が表示され、あなたがロボットでないことを証明するように求められる。私たちの多くは、このようなリクエストに慣れているため、ためらうことなくこれに応じてしまうだろう。

　しかし、写真の中の特定の画像を選択したり、歪んだ文字を識別したりする通常のCAPTCHAチャレンジとは異なり、以下の画像にあるような指示が表示される。

　この時点で、ある程度の専門知識があれば、異常に気づいてサイトを離れるだろう。しかし、サイバー犯罪者が専門知識のない人々を標的にしていることを忘れてはならない。注意深いユーザーであっても、急いでいたり、注意散漫になっていたりすれば、こうしたわなに陥る可能性がある。

　この手順に従うと、テキスト文字列がWindowsのクリップボードにコピーされる。通常、この種の操作には許可が必要となる。しかし、CAPTCHA認証の最初の画面でチェックボックスにチェックを入れることで、既に許可は与えられている。

　Windowsの「ファイル名を指定して実行」（下図）に見られるように、文字列は単に「I’m not a robot — reCAPTCHA Verification ID: 8253」と表示される。しかし、背後には別の文字列があり、「Mshta.exe」というWindowsコマンドを実行するものである。通常、この実行ファイルはコード実行のための正当かつ安全なコマンドとして使用される。しかし、ハッカーや攻撃者はこれを悪用し、マルウェアのダウンロードやインストールを可能にする。

　このケースでは、Mshtaはウェブサイトから悪意のあるメディアファイルをダウンロードする。ファイル名は無害に見えるかもしれない。Malwarebytesは、mp3、mp4、jpg、jpeg、swf、htmlなどの拡張子を持つファイルを確認していると述べている。しかし、ファイル自体には、実際のシステムに悪影響を与えるコードを密かにダウンロードして実行させるための、エンコードされたPowerShellコマンドが組み込まれている。

　これまで、ダウンロードされたマルウェアはほとんどの場合、「Lumma Stealer」という情報窃取型マルウェアだった。しかし、最近の攻撃活動では、攻撃者は代わりに「SecTopRAT」を使用している。いずれにせよ、マルウェアはユーザーのPCに感染して機密データを盗むように設計されている。

　攻撃手法を把握することに加えて、この種の攻撃からどのようにして身を守ることができるのだろうか。Malwarebytesは、幾つかの対策を示している。