メディア

「私はロボットではありません」認証しただけでマルウェア感染の可能性があるって本当?:569th Lap

Webサイトの会員登録画面などでおなじみの認証「CAPTCHA」を悪用し、マルウェアに感染させる脅威が見つかった。その詳細とは?

» 2020年07月03日 08時00分 公開
[キーマンズネット]

 「私はロボットではありません」。Webサイトの会員登録画面やログイン画面などで目にする「CAPTCHA」と呼ばれる認証機能で、判読しにくい文字列や数字を読み取って入力、またはパネル状に配置された画像の中から指定の画像を選択させることで、botによる操作ではないことを機械的に判別する機能だ。カーネギーメロン大学ピッツバーグ本校で開発されたこの機能をGoogleが買い取り、無償で提供しているものを「reCAPTCHA」と呼ぶ。触れたことがあるという人は少なくないのではないだろうか? そんなCAPTCHA、もしくはreCAPTCHAを悪用しマルウェアに感染させる脅威が発見されたという。一体、どういうものなのだろうか――。

 CAPTCHAを悪用してハッキングするグループをMicrosoftのセキュリティ対策チームが発見し、同チームの公式Twitterにて公表した。

 Microsoftは以前より、悪意のあるExcelファイルを配布しているハッカーグループを追跡していた。その1つである「CHIMBORAZO」というハッカーグループの手口が今回明らかになったようだ。

 CHIMBORAZOは、悪意のあるマクロを含んだExcelファイルの悪用を常とう手段としている。悪意のあるマクロというのは、有効にした途端にユーザーの個人情報やPC内の機密情報を盗むトロイの木馬「GraceWire」をインストールし実行するというものだ。

 従来、CHIMBORAZOはフィッシングメールにそのExcelファイルを添付して送りつけ、無防備なユーザーにマクロを有効にさせる手法をとっていた。セキュリティ対策ソフトなどである程度の備えをしているユーザーなら、Excelファイルを開こうとしたとき、またはマクロを有効にしようとしたときに警告が表示され、被害はそれほど大きくない。しかし彼らは、その手法をここ数週間で変化させているのだという。

 CHIMBORAZOの新たな手段は、本文にフィッシングサイトへのリンクを埋め込んだメールや、フィッシングサイトへリダイレクトするコードを含んだHTMLファイルを添付したメールをユーザーに送りつけるというもの。そしてユーザーがアクセスさせられたWebサイトには、冒頭で触れたようなCAPTCHAが用意されている。

 ユーザーがこのCAPTCHAに素直に回答することにより、例の悪意あるマクロを含んだExcelファイルがダウンロードされる。結局ダウンロードするなら、「セキュリティ対策ソフトが反応するのでは」と思うが、そうではない。

 普段であれば怪しいファイルをダウンロードしたとき、セキュリティ対策ソフトやWebブラウザが自動検出によって脅威を察知する。しかしCAPTCHAを経てからダウンロードした場合、その自動検出機能が回避されるケースがあるのだという。

 Microsoftの研究チームによれば、reCAPTCHA自体になりすますというような攻撃手段は以前からあるが、CAPTCHAの認証で自動検出を回避する攻撃手段は珍しいとのこと。今後はセキュリティ対策ソフトやWebブラウザによって何らかの対抗手段が取られると予想されるが、正式なアナウンスがあるまでは、謎のCAPTCHAには注意していただきたい。


上司X

上司X: 「CAPTCHA」を悪用するハッキング手段が見つかった、という話だよ。


ブラックピット

ブラックピット: 攻撃者はなぜわざわざそういうことを思い付くんですかねえ。


上司X

上司X: わざわざというか、そういう攻撃を日々こなしているんだろう……。あの手この手を考えてるだろうよ、ハッカー集団も。


ブラックピット

ブラックピット: なんだかハッカー集団の味方みたいですね?


上司X

上司X: いやいや、まったくそんなことはないよ。


ブラックピット

ブラックピット: CAPTCHA、たまにイラッとすることはありますけどね。でもそれを悪用するのはやり口が汚いです。


上司X

上司X: 確かにな。CAPTCHAが備わってると、そのWebページもなんとなく信用してしまう気がする。そしてCAPTCHAに反応するって手間が油断を生むのかもな。


ブラックピット

ブラックピット: ところでハッカー集団の名前「CHIMBORAZO」ってのは、アンデス山脈にある火山の名前ですね。どういう意図なんだろう。


上司X

上司X: 相変わらず雑学知識はあるんだな……。それは置いておくとして、ハッキングの手法にもこういう新しくて巧妙なものが出てくる。あの手この手で迫ってくるんだ。いつも気を抜けないのは間違いない。ゆめゆめ油断めされるな、ってところだな。もちろんキミも俺もだ。


川柳

ブラックピット(本名非公開)

ブラックピット

年齢:36歳(独身)
所属:某企業SE(入社6年目)

昔レーサーに憧れ、夢見ていたが断念した経歴を持つ(中学生の時にゲームセンターのレーシングゲームで全国1位を取り、なんとなく自分ならイケる気がしてしまった)。愛車は黒のスカイライン。憧れはGTR。車とF1観戦が趣味。笑いはもっぱらシュールなネタが好き。

上司X(本名なぜか非公開)

上司X

年齢:46歳
所属:某企業システム部長(かなりのITベテラン)

中学生のときに秋葉原のBit-INN(ビットイン)で見たTK-80に魅せられITの世界に入る。以来ITひと筋。もともと車が趣味だったが、ブラックピットの影響で、つい最近F1にはまる。愛車はGTR(でも中古らしい)。人懐っこく、面倒見が良い性格。


Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。

編集部からのお知らせ