その「私はロボットではありません」は本物? マルウェア感染狙う“偽CAPTCHA”出現 米Microsoftが注意喚起
クリックして下記の操作を行うとマルウェアに感染させられる
Webサイトにログインしようとすると時折表示される「私はロボットではありません」の画面。不正アクセス防止を目的としたCAPTCHAの一種だが、この仕組みを偽装してユーザーのクリックを誘い、Windowsをマルウェアに感染させようとする手口が横行しているという。
「ClickFix」と呼ばれるこの手口では、普段利用しているサービスのログイン画面に見せかけた詐欺サイトにユーザーを誘導し、不正プログラムと人間のユーザーを見分ける目的で使用される「私はロボットではありません」を装うボタンを表示する。ユーザーがこのボタンをクリックすると、確認のためと称して次のようなキーボード操作を求められる。
(1)Windowsボタンと「R」を押す
(2)「CTRL」と「V」を押す
(3)「Enter」を押す
(1)の手順ではWindowsの「ファイル名を指定して実行」のウィンドウを表示し(2)の手順で不正サイトの仮想クリップボードからコピーした悪質なコードをペースト。(3)のEnterキーを押してしまうとマルウェアが実行される。
米Microsoftによると、この手口は2024年12月に旅行予約サイトの「Booking.com」を装うフィッシング詐欺に利用されているのが見つかった。この攻撃は25年2月時点でも続いているといい、ユーザーが画面の指示に従うとパスワードなどの情報を盗み出すマルウェアに感染し、アカウントを乗っ取られたり決済情報を盗まれたりする恐れがある。
Booking.comを狙った詐欺では、主に旅行関連の企業や個人が標的にされているという。例えば「宿泊設備やスタッフの接し方の問題に関するフィードバックが投稿されました」という通知メールや「宿泊を検討していますが、口コミを見て少し心配しています」といった客からの問い合わせを装った詐欺メールをホテルなどの担当者に送付。リンクや添付ファイルをクリックするよう仕向ける。
これをクリックするとBooking.comに見せかけた不正サイトに誘導され、ClickFixの手口でマルウェアをインストールさせる仕組み。
サイバーセキュリティジャーナリスト、ブライアン・クレブズさんのWebサイト「KrebsOnSecurity」によれば、Booking.comを利用している宿泊施設のアカウントが乗っ取られ、ホテルを予約した利用客にそのアカウント経由で決済情報の提供を求める詐欺メールが送信される被害も発生しているという。
GoogleやFacebookのエラーページ装う手口も
Microsoftによると、こうした攻撃を仕掛けているのは「Storm-1865」と呼ばれるサイバー犯罪集団で、23年ごろから詐欺の手口を進化させ、件数も増大している。狙われているのは旅行業界にとどまらない。
サイバーセキュリティ企業の米Arctic Wolfは、ヘルスケア業界を狙ったClickFixの手口を確認したと伝えた。理学療法士などの専門家がリハビリを指導する「HEP2go」のサイトにアクセスしようとしたところ、不正サイトにリダイレクトされ、偽の「私はロボットではありません」画面が表示されたという報告が2月下旬から相次いでいるという。こちらもBooking.comと同じ手口でマルウェアをインストールさせようとしていた。
米保健社会福祉省は24年10月の時点で、Google ChromeやFacebookなどのエラーページに見せかけて「Fix it」のボタンをクリックさせるClickFixの手口に注意を促していた。他にもゲームやPDF閲覧ソフト、Zoomアプリなどを探そうとするユーザーを標的にしている可能性があるという。
ClickFixの手口は一般的なマルウェア感染の手口と比べて不審な印象を抱かれにくく、ユーザーに操作させることでWebブラウザなどに実装されている通常のセキュリティ対策をすり抜けてしまいやすい。MicrosoftやArctic Wolfは、こうした詐欺の手口を見抜けるよう、従業員のトレーニングに力を入れる必要性を指摘している。
コメント