偽のCAPTCHA詐欺がマルウェアをインストールさせる手口 

偽CAPTCHA詐欺は、正当な認証テストのように見せかけて人々を騙すように設計されています。これにより、有害なマルウェアをシステムにインストールさせられる可能性があります。幸いにも、注意すべき兆候や取るべき予防策がいくつか存在します。  

知っておくべきこと: 

  • 偽のCAPTCHAページは、よく知られた「ロボットではないことを証明する」テストを模倣し、人々を騙してマルウェアを実行させようとします。 
  • 本物のCAPTCHAは、チェックボックスにチェックを入れるか簡単なパズルを解くだけを求めるものです。ファイルのダウンロードやコマンドの貼り付けを求められるべきではありません。 
  • 誤ってクリックしてしまった場合?サイトを閉じて、フルスキャンでウイルス検査を実行してください。ダウンロードしたファイルはすべて削除し、安全な端末からパスワードを変更してください。 

CAPTCHAを解決する前にサイトのアドレスを確認し、Windows ダイアログのような潜在的に有害な機能を制限することで、自身を守ることができます。 

CAPTCHA認証とは何ですか? 

CAPTCHA認証は、人間と機械を区別するために設計されたセキュリティツールです。この名称は「コンピュータと人間を区別するための完全自動化された公開チューリングテスト」を意味します。略された理由がお分かりでしょう。 

アカウント登録やフォーラムへの投稿時に誰もが遭遇したことがあるでしょう。人間確認用CAPTCHAは、サイトにアクセスしているのが自動化されたスクリプトではなく実在の人間であることを確認するために設計されています。これらはウェブサイトをスパムや偽アカウントから守る役割を果たしています。 

CAPTCHAはどのように機能するのですか? 

CAPTCHAは、人間には簡単に解けるが自動プログラムには難しい小さなテストを提示します。歪んだ文字や数字のセットを入力するよう求めるものもあります。  

他のものは画像のグリッドを表示し、信号機や自転車、横断歩道をクリックします。誰もが一度は見たことがあるでしょう。音声版では一連の数字を聞き取り、聞いた内容をタイプします。これらのタスクは、確実に完了できないスクリプトやボットをブロックすることでウェブサイトを保護します。従来のCAPTCHAは遅延やストレスの原因となるため、多くのウェブサイトでは現在、Googleの新しいバージョンであるreCAPTCHAを採用しています。 

reCAPTCHAとは何ですか? 

reCAPTCHAは、GoogleがオリジナルのCAPTCHAの概念をさらに発展させたものです。ユーザーに判読困難なテキストの解読を強いる代わりに、reCAPTCHAでは「私はロボットではありません」と表示されたシンプルなチェックボックスが表示されることがよくあります。あるいは、簡単な画像パズルが提示される場合もあります。  

では、reCAPTCHAはどのように機能するのでしょうか? バックグラウンドで静かにブラウジングパターンを分析し、ユーザーが人間かボットかを判断します。これにより、邪魔にならず、概ね正確な判定が可能です。結果として、reCAPTCHAはインターネット上で最も一般的な認証システムとなりました。BuiltWithによれば、1,100万以上のウェブサイトで採用されています。  

詐欺師はどのようにCAPTCHAを罠に変えるのか? 

犯罪者は、人々がCAPTCHA認証を信頼していることを知っています。特に「私はロボットではありません」というおなじみのチェックボックスです。詐欺師は偽のウェブサイトに人を誘導し、そこにCAPTCHAを設置することで正当性を装うことができます。 あるいは攻撃者は有名ブランドのサイトを模倣し、微妙に異なるURLを設定した上で、実際にはマルウェアを配布する偽のCAPTCHAを追加することもある。GoogleのreCAPTCHAデザインを忠実にコピーしたページもあり、多くの訪問者は疑いを持たない。偽のCAPTCHAは、怪しいポップアップや侵害されたウェブサイトのリンクを通じて表示されることが多い。 

偽のCAPTCHAは、日常的な操作と非日常的な指示を組み合わせることで機能します。単純にチェックボックスをクリックする代わりに、追加の認証ステップとしてファイルのダウンロードを求められる場合があります。CAPTCHA自体が本物に見えるため、多くのユーザーが指示に従い、詐欺師がマルウェアを仕込んだり情報を盗んだりする隙を与えてしまうのです。 

偽のCAPTCHA詐欺は実際にどのように機能するのか? 

偽のCAPTCHA詐欺には複数の形態があります。最も一般的な手口は、追加の認証が必要だと主張する偽のCAPTCHAです。ページは自動的に悪意のあるコマンドをクリップボードにコピーします。その後、Windows ダイアログ(Win + R)でそれを実行するよう指示し、情報窃取ツールをインストールさせようとします。 

偽のCAPTCHAページには、被害者を手順に沿って誘導するためのステップバイステップのチュートリアル動画が含まれているケースさえ確認されています。 

CAPTCHA詐欺には他のバリエーションも存在する。手法には以下のようなものがある: 

  • PowerShellやmshta.exeコマンドに有害な指示を隠蔽し、検出を困難にする。 
  • MP3やJPGなどの日常的なファイル形式にマルウェアを密輸する 
  • ファイルレス実行を使用します。これはペイロードがディスクに保存されるのではなく、完全にメモリ内で実行される方式です。これにより、アンチウイルスツールが検出できる痕跡が少なくなります。 

偽のCAPTCHAはどのようなマルウェアをインストールするのか? 

こうしたCAPTCHA詐欺の多くは、単にデータを収集するだけではありません。あなたを監視したり、システムを乗っ取るように設計された悪意のあるソフトウェアをインストールする可能性があります。最も一般的なペイロードには情報窃取型マルウェアが含まれます。  

一部のユーザーはLumma Stealerや類似の有害ソフトウェアをインストールします。これらはパスワードやブラウザのクッキーを収集できます。中には仮想通貨ウォレットにアクセスできるものさえあります。  

他のものはリモートアクセストロイの木馬(RAT)を配信します。これには以下が含まれます: 

  • 非同期RAT 
  • セクトップラット 
  • Xワーム 

これらのツールは、攻撃者がファイルを閲覧したり、企業ネットワークへのバックドアを開けたりすることを可能にします。その影響は深刻で、個人情報の盗難や、自社システム内に潜伏する足場が作られる可能性があります。これらはすべて、たった1回の侵害から発生する可能性があります。 

本物のCAPTCHAと偽物のCAPTCHAをどうやって見分けるのですか? 

偽のCAPTCHAを見抜くのは必ずしも簡単ではありません。いくつかの兆候があります。正当なCAPTCHAは信頼できるサイトに表示され、単純な視覚的または音声による確認を使用します。  

悪意のある偽のCAPTCHAは、より多くの要求をしがちです。ファイルのダウンロードや通知の有効化を求めたりします。テキストをコンピュータに貼り付けるよう指示されたら、警戒すべきです。もう一つの危険信号は、CAPTCHAが表示される場所です。 本物のCAPTCHAは信頼できるページ内に埋め込まれています。偽物はよく見慣れない、あるいは怪しげなドメイン上に存在します。ドメイン名が「js3820_xxZhry.strangesite-name.yzx」のような形式なら安易に信用すべきではありません。偽物や非公式っぽいドメイン名は常に危険信号です。 

CAPTCHAのポップアップが表示される場合、これも疑わしい理由となります。正当なサイトでこのような方法を採用している例はほとんどありません。 

偽のCAPTCHAをクリックしてしまった場合、どうすればよいですか? 

偽のCAPTCHAをクリックするとシステムにリスクが生じるため、決して安易にクリックすべきではありません。迅速な対応により、感染が拡大する前に阻止したり、マルウェアが既に実行されている場合の被害を最小限に抑えたりできます。直ちにブラウザタブを閉じ、インターネット接続を切断し、フルスキャンを実行して被害を最小限に抑えてください。 

完全なウイルス対策ソフトまたはマルウェア対策ソフトによるスキャンを実行してください。最新の脅威を検出できるよう、ツールが最新の状態であることを確認してください。詐欺によってファイルのダウンロードを促された場合は、そのファイルを削除してください。有害なスクリプトが実行される可能性があるため、絶対に開かないでください。ごみ箱またはリサイクルビンを空にして、完全に消去してください。 

次に、キャッシュやクッキーを消去し、見覚えのない拡張機能を削除してブラウザをクリーンアップしてください。偽のCAPTCHAページの中には、サイトを離れた後も残存する悪質なアドオンを仕込もうとするものがあります。 

システムが安全に確認できたら、最も機密性の高いアカウントのパスワードを別の安全な端末から変更してください。パスワードを再利用している場合は、この機会に更新しましょう。マルウェアは保存された認証情報を狙うことが多いのです。 

今後数週間は、アカウントをより厳重に監視してください。ソーシャルメディア上で不審なログインや予期せぬメッセージに注意を払ってください。多くの攻撃者は、盗んだデータを使用する前に待機し、警戒が緩むのを待っています。警戒を怠らないことで、詐欺が悪化する前に発見できる可能性があります。 

要約: 

  • サイトを閉じて、インターネットから切断してください。 
  • フルスキャンによるウイルス対策ソフトまたはマルウェア対策ソフトのスキャンを実行してください。 
  • 不審なダウンロードは開かずに削除してください。 
  • ブラウザのキャッシュ、クッキー、および不明な拡張機能を削除してください。 
  • 安全な端末からパスワードを変更してください。 
  • 金融口座の異常な動きを監視し続ける。 

偽のCAPTCHA詐欺から身を守るにはどうすればよいですか? 

安全を確保するには、CAPTCHAが不自然に感じられたら、まずペースを落とすことから始めましょう。  

サイトアドレスなどの詳細を確認する必要性や、CAPTCHAがポップアップで表示された場合の注意については既に説明しました。訪問しようとしたサイトと一致しない場合は、リスクを冒さずにページを閉じてください。 

優れたデバイスセキュリティは防御層を追加します。オペレーティングシステムとアンチウイルスソフトを常に最新の状態に保ち、新たな脅威をブロックできるようにしましょう。多くのセキュリティプログラムは、ユーザーが操作する前にページ上の不審なスクリプトをスキャンすることも可能です。一部のブラウザには有害なコードに対する組み込み保護機能が備わっています。これらの設定を確認する価値があります。 

さらに多くの対策が講じられます。共有PCでWindows ダイアログを制限または無効化すれば、攻撃者による悪用を防げます。スクリプトブロック拡張機能の使用や危険なサイトでのJavaScript無効化は、隠されたコマンドの実行を削減するのに役立ちます。 

なぜ偽のCAPTCHA詐欺が増えているのか? 

詐欺師が偽のCAPTCHAページを使うのは、誰もが認識する仕組みを悪用するためだ。大半の人は「私はロボットではありません」というおなじみのチェックボックスを見て、考えもせずに解決してしまう。この組み込まれた信頼こそが、詐欺を効果的にしている。「このコードを貼り付けて認証を完了してください」といった指示は、プロセスの一部のように見えるため、必ずしも警戒心を呼び起こさない。 

もう一つの理由は経済性だ。こうした詐欺を仕掛けるのに、もはや高度な技術力は必要ない。マルウェア・アズ・ア・サービス(Malware-as-a-Service)キットが既製のスクリプトとホスティングを提供する。つまり、金を払う意思さえあれば誰でも攻撃を実行できるのだ。  

多くの詐欺師は、データや資産が豊富な業界を狙います。オンラインストアは支払い情報が魅力的であり、ゲームプラットフォームには貴重なデジタルアイテムや暗号通貨と連動したアカウントが存在する可能性があります。ユーザーがログインして資金を移動するサイトは、いずれも魅力的な標的となります。導入可能な対策は複数あります。ネットワーク環境はそれぞれ異なります。こうした問題の発生を防ぐため、各社が提供する対策内容を確認することは非常に重要です。  

偽のCAPTCHA詐欺におけるトロイの木馬ウイルスの危険性とは何ですか?

現在、最も一般的なオンライン詐欺の種類は何ですか?

ソーシャルエンジニアリングは偽のCAPTCHA詐欺においてどのような役割を果たすのか?

なりすまし攻撃の警告サインにはどのようなものがありますか?

スケアウェアとは何か?その脅威を回避するには?

よくある質問

「私はロボットではありません」は詐欺ですか?   

必ずしもそうとは限りません。このチェックボックスは、ボットを排除するために使用される本物のCAPTCHAシステムの一部です。詐欺が発生するのは、犯罪者がその見た目を模倣し、追加の指示を付け加えた場合です。 

reCAPTCHAは安全ですか?  

はい、GoogleのreCAPTCHAは安全です。これは正当で広く利用されているツールです。ただし、偽物ではないこと、そして信頼できるサイトで解いていることを確認してください。