マルウェアに感染した偽CAPTCHAがCAPTCHAに対する嫌悪感を強める理由

CAPTCHAへの対応は、しばしばストレスの溜まる作業です。歪んだ文字を解読したり、画像を選択したりするなど、これらのセキュリティ対策はユーザー保護のために設計されていますが、すぐに煩わしさに変わってしまう可能性があります。しかし最近、偽造CAPTCHAがユーザーを騙してマルウェアをダウンロードさせるという憂慮すべき傾向が現れており、こうしたセキュリティ対策への嫌悪感はますます高まっています。

CAPTCHAの隠れたリスク

CAPTCHAは一般的に多少の不便ではあるものの、必ずしも無害というわけではありません。Windowsユーザーを主に標的とした新たな手口は、この煩わしいパズルを悪意のあるソフトウェアの侵入経路に変え、ユーザーを重大なリスクにさらしています。ユーザーが人間であることを確認しようとすると、サイバー犯罪者は偽のCAPTCHAページを利用して、マルウェアのインストールにつながる操作を実行させようとします。

これらの偽造認証チャレンジは、Cloudflareの正規のセキュリティ機能を模倣しているため、本物と偽物のプロンプトを区別することが困難です。私たちはオンラインでこのようなタスクを習慣的に実行しているため、CAPTCHAの真正性を見落としがちです。

あなたが人間であるかどうかを確認するための実際の Cloudflare キャプチャ。
本物のCloudflare CAPTCHA

問題のマルウェアは Stealthy StealC として知られており、ログイン認証情報、暗号通貨ウォレットデータ、Outlook などの電子メールアカウントや Steam などのゲームプラットフォームからの詳細など、機密情報を密かに収集します。

一般的には怪しいウェブサイトを避けるように勧められていますが、ハッカーが信頼できるウェブサイトのCAPTCHAシステムに侵入しているという憂慮すべき現実があります。単純ながらも有害なJavaScriptコードを使って、本物のCAPTCHAを悪意のあるコピーに置き換えることができます。これはクリックジャッキングと呼ばれる手法で、信頼できるサイトを脅威へと変える可能性があります。

キーボードショートカットを含むCAPTCHAには注意しましょう

CAPTCHAは通常、パズルを解いたり、ランダムな文字列を入力したり、グリッド内の画像を特定したりするといった従来の方法でユーザーを誘導します。しかし、これらの偽造CAPTCHAは、特定のキーボードショートカットの入力を要求するという独自の手法を採用しています。正規のCAPTCHAでは、ユーザーにこのような組み合わせの入力を求めることはありません。

例えば、よくある悪意のあるシーケンスでは、Win+キーを押してRバックグラウンドで「実行」プロンプトをサイレントに起動し、その後Ctrl+Vコマンドを実行して、知らないうちに有害な命令を貼り付けます。最終的にEnterキーを押すとコマンドが実行され、マルウェアがダウンロードされます。

これは新たな不正戦術ではなく、同様の攻撃は以前にも確認されています。約1年前、EDDIESTEALERと呼ばれるキャンペーンが偽のCAPTCHAページを悪用し、Google Chromeを利用するWindowsユーザーを標的にマルウェア感染を引き起こしました。

本物と偽造のCAPTCHAの見分け方

CAPTCHAの大部分は、ウェブサイトを自動ボットから保護するための正当なツールですが、AIによるウェブスクレイピングの脅威の増大により、その普及が急増しています。本物のCAPTCHAと悪意のあるCAPTCHAを見分けるためのヒントをいくつかご紹介します。

  • スクリプトまたはコマンドの実行要求
  • 「私はロボットではありません」チェックボックスを使用すると、画像ベースのチャレンジではなくキーボードショートカットが使用される
  • CAPTCHAプロンプトが予期せず表示され、サイトのナビゲーションと一致しない
  • 侵害された、または変更されたURLを持つ新しいページを開く
  • 指示の文法が間違っている、またはスペースが異常である
  • 使い慣れた画像選択ではなくキーボードショートカットを必要とする低品質の画像

周囲に注意してください。CAPTCHAを操作中にPowerShellまたはコマンドプロンプトのウィンドウが表示された場合は、直ちにすべての操作を中止し、ページを終了してください。

Windows でのスクリプト実行の評価

予防策として、Windows Script Host を無効にすることで、有害なスクリプトの実行を防ぐことができます。あるいは、許可されていないスクリプトの実行を制限するという、より穏健な方法を選択することもできます。

慣れていて管理者権限をお持ちであれば、レジストリを編集してWindows Script Hostを無効にするのは簡単です。また、必要に応じて簡単に復元できます。手順は以下のとおりです。

Win+を押してとR入力しregedit、 を押しますEnter。次に、次の場所に移動します。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings

右側のペインで右クリックし、[新規] → [DWORD (32 ビット) 値]を選択します。

Windows Script Host で新しい DWORD 値を作成します。

新しい値に「Enabled」という名前を付けます。この新しいエントリをダブルクリックして値を0に設定し、スクリプトを無効にします。この変更を有効にするには、コンピューターを再起動してください。将来スクリプトを有効にする場合は、値を1に戻してください。

レジストリの値をゼロに設定します。

このアクションは正当なスクリプトもブロックしますが、必要に応じて元に戻すのは簡単です。

JavaScript要素をブロックする戦略

偽造CAPTCHAに対するもう一つの防御策は、ウェブサイトでJavaScriptをブロックすることです。お気に入りのサイトで特定の機能が利用できなくなる可能性がありますが、ブラウザでは通常、JavaScriptを個別に有効にすることができます。

ブラウザの設定からJavaScriptの設定を見つけるか、NoScriptなどのスクリプトブロック拡張機能の利用を検討してください。さらに、uBlock Originのようなプライバシー重視の拡張機能では、特定のスクリプトをブロックするためのカスタマイズ可能なオプションが提供されています。

偽の CAPTCHA は永続的な性質を持つため、スクリプトの実行を制限し、CAPTCHA の指示に注意することで防御を強化すると、隠れたマルウェアの被害に遭うリスクが大幅に軽減されます。

出典と画像