「私はロボットではありません」認証しただけでマルウェア感染の可能性があるって本当？：569th Lap

Webサイトの会員登録画面などでおなじみの認証「CAPTCHA」を悪用し、マルウェアに感染させる脅威が見つかった。その詳細とは？

» 2020年07月03日 08時00分公開

[キーマンズネット]

　「私はロボットではありません」。Webサイトの会員登録画面やログイン画面などで目にする「CAPTCHA」と呼ばれる認証機能で、判読しにくい文字列や数字を読み取って入力、またはパネル状に配置された画像の中から指定の画像を選択させることで、botによる操作ではないことを機械的に判別する機能だ。カーネギーメロン大学ピッツバーグ本校で開発されたこの機能をGoogleが買い取り、無償で提供しているものを「reCAPTCHA」と呼ぶ。触れたことがあるという人は少なくないのではないだろうか？　そんなCAPTCHA、もしくはreCAPTCHAを悪用しマルウェアに感染させる脅威が発見されたという。一体、どういうものなのだろうか――。

　CAPTCHAを悪用してハッキングするグループをMicrosoftのセキュリティ対策チームが発見し、同チームの公式Twitterにて公表した。

　Microsoftは以前より、悪意のあるExcelファイルを配布しているハッカーグループを追跡していた。その1つである「CHIMBORAZO」というハッカーグループの手口が今回明らかになったようだ。

　CHIMBORAZOは、悪意のあるマクロを含んだExcelファイルの悪用を常とう手段としている。悪意のあるマクロというのは、有効にした途端にユーザーの個人情報やPC内の機密情報を盗むトロイの木馬「GraceWire」をインストールし実行するというものだ。

　従来、CHIMBORAZOはフィッシングメールにそのExcelファイルを添付して送りつけ、無防備なユーザーにマクロを有効にさせる手法をとっていた。セキュリティ対策ソフトなどである程度の備えをしているユーザーなら、Excelファイルを開こうとしたとき、またはマクロを有効にしようとしたときに警告が表示され、被害はそれほど大きくない。しかし彼らは、その手法をここ数週間で変化させているのだという。

　CHIMBORAZOの新たな手段は、本文にフィッシングサイトへのリンクを埋め込んだメールや、フィッシングサイトへリダイレクトするコードを含んだHTMLファイルを添付したメールをユーザーに送りつけるというもの。そしてユーザーがアクセスさせられたWebサイトには、冒頭で触れたようなCAPTCHAが用意されている。

　ユーザーがこのCAPTCHAに素直に回答することにより、例の悪意あるマクロを含んだExcelファイルがダウンロードされる。結局ダウンロードするなら、「セキュリティ対策ソフトが反応するのでは」と思うが、そうではない。

　普段であれば怪しいファイルをダウンロードしたとき、セキュリティ対策ソフトやWebブラウザが自動検出によって脅威を察知する。しかしCAPTCHAを経てからダウンロードした場合、その自動検出機能が回避されるケースがあるのだという。

　Microsoftの研究チームによれば、reCAPTCHA自体になりすますというような攻撃手段は以前からあるが、CAPTCHAの認証で自動検出を回避する攻撃手段は珍しいとのこと。今後はセキュリティ対策ソフトやWebブラウザによって何らかの対抗手段が取られると予想されるが、正式なアナウンスがあるまでは、謎のCAPTCHAには注意していただきたい。