「CAPTCHA」というものをご存じでしょうか?
さまざまなWebサイトやサービスを利用する際に、指示された写真を数枚選択したり歪曲した画像の中から指示された文字列を入力することで「私はロボットではありません」と証明するために使用される認証技術です。
これは質問への回答の正確さだけでなく、回答後に「私はロボットではありません」という証明にチェックマークを入れる際のカーソルの動きが自然かどうかまでが判断の基準となるため、複雑な技術が使用されていることが伺えます。
しかし、最近はこのCAPTCHAの表示をそのまま操作した結果、マルウェアに感染させられる「偽CAPTCHA」と呼ばれる技術が出現しています。
認証画面だと思って操作した結果、ウイルス感染させられる厄介な手口が横行していますので、そのための対処が必要になってくるでしょう。
今回は、「偽CAPTCHA」によってもたらされる可能性のある被害や、その対策方法を探偵目線で解説していきます。
目次 [ 閉じる ]
Webサイトにログインしようとすると時折表示される「私はロボットではありません」の画面。不正アクセス防止を目的としたCAPTCHAの一種だが、この仕組みを偽装してユーザーのクリックを誘い、Windowsをマルウェアに感染させようとする手口が横行しているという。
引用元:その「私はロボットではありません」は本物? マルウェア感染狙う“偽CAPTCHA”出現 米Microsoftが注意喚起:この頃、セキュリティ界隈で – ITmedia NEWS
「偽CAPTCHA」は、認証サービスCAPTCHAに寄せられる高い信頼性の裏をかいた新しいウイルス感染手法です。
まずはCAPTCHAがどのような仕組みで機能しているか解説し、その上で「偽CAPTCHA」の厄介さについて紹介していきます。
CAPTCHAは「Completely Automated Public Turing test to tell Computers and Humans Apart」(完全に自動化された、コンピューターと人間を区別する公開チューリングテスト)の省略形であり、その名の通り認証を行なっているのが人間なのかロボットなのか区別するためのテストシステムです。
元々は歪曲した画像の中から指定されたテキストを入力する内容でしたが、ロボットの高性能化によって突破されるリスクが増大していきました。
そこでGoogleは、従来のCAPTCHAテストよりも高度な内容のreCAPTCHAテストを実装し、セキュリティ強度を更に高めることに成功しました。
reCAPTCHAテストは画像の認証や「私はロボットではありません」と書かれたチェックボックスへの入力と、それらの操作における人間による挙動化を判別する仕組みが追加されたため、ロボットが突破することはかなり難しくなりました。
このような技術の発展によって、CAPTCHAは高性能な認証システムとしてさまざまなWebサイトやサービスにおいて使用されるようになりました。
「偽CAPTCHA」は、高い信頼性を集めるCAPTCHAの認証画面に偽装した詐欺サイトを使用したハッキング手法です。
アメリカで生まれたこの「偽CAPTCHA」は「ClickFix」とも呼ばれ、見かけは完全にreCAPTCHAテストの画面ですが、「私はロボットではありません」のボタンを入力した後に下記のような操作を求められます。
その結果、パソコン内部にマルウェアが侵入し、個人情報の流出やアカウントの乗っ取りといった被害が発生することになります。
この被害が発見されたのは2024年12月に旅行予約サイト「Booking.com」を偽装した詐欺サイト上で、2024年3月時点でもまだ同様の手法による被害が相次いでいるとのことです。
「偽CAPTCHA」が巧妙な手法を取っていることがわかりましたが、実際に「偽CAPTCHA」の言われるがままに操作を行なうとどのような被害を受けてしまうのでしょうか。
考えられる被害の種類を紹介していきます。
最も可能性が高いのは、マルウェアへの感染です。
マルウェアはパソコンやスマートフォンなど電子機器に被害を与えるソフトウェアの総称で、コンピューターウイルスやランサムウェアといったものもすべてマルウェアの一種です。
このようなマルウェアが端末内に侵入してしまうと、後述するような多種多様な被害を受けてしまう可能性が出てきてしまいますので、マルウェアへの感染は何としても回避すべきです。
マルウェアが入り込むことで端末内に保存していた個人情報が抜かれてしまい、マルウェア作成者にその内容が知られることとなります。
流出した個人情報は詐欺業者の知るところとなり、さまざまな迷惑電話や迷惑メールが送られてしまうことになるでしょう。
そこからフィッシング詐欺など別種の詐欺被害に波及し、多額の金銭を要求される可能性もあるでしょう。
間違っても怪しい電話に応答して指示通りの行動をしたり、迷惑メールに記載されたURLにアクセスしてはいけません。
「偽CAPTCHA」が最初に確認されたのは旅行予約サイト「Booking.com」上で、旅行施設の運営者向けに仕掛けられたと言われています。
口コミやユーザーからの連絡に偽装されたメッセージが届き、記載されたURLにアクセスすると「偽CAPTCHA」による認証画面が表示され、そこから記録していた顧客の決済情報が抜かれてしまうというものです。
そうして手に入った決済情報を基に、顧客たちにも詐欺メールが次々と送信されてしまったと言われています。
「偽CAPTCHA」の標的はサイトを利用する顧客だけでなく、サイトに登録する企業も同様であることが理解できるでしょう。
「偽CAPTCHA」は初めて確認されてから日の浅いハッキング行為なので、まだ効果的な対策は発見されていません。
Microsoftなどの大手パソコン企業は速やかな対策の拡充を急いでいますが、現状行なえているのは「偽CAPTCHA」を見抜くための専門スタッフのトレーニングのみで技術的な面では後手に回っているのが現状です。
その中でもできる対策としては、やはりセキュリティ対策を最新のものにアップデートすることでしょう。
ウイルス対策ソフトを更新すれば、もしウイルスのリスクが高いサイトにアクセスしても速やかに危険性を探知して警告を出してくれて、被害を未然に回避できる可能性が高まります。
また、「偽CAPTCHA」には本物のCAPTCHAにおいては不要なコマンド入力を求められるため、そのようなコマンド入力は無視して速やかにそのページから離れることが重要です。
マルウェアの感染やハッキングが疑われる事象で、当事務所に相談をいただくケースが多々あります。
相談者の多くは、セキュリティの対策を行なっておらず、パソコンやスマホなど危険にさらされている状態であることがほとんどです。
セキュリティ対策を実施せず、そのままの状態にしておくと個人情報の流出を招きます
当探偵事務所ではお持ちの端末で下記のような調査が可能です。
ご不安な方は、一人で悩まず、当探偵事務所の専門家にご相談ください。
監修者・執筆者 / 山内
1977年生まれ。趣味は筋トレで現在でも現場に出るほど負けん気が強いタイプ。 得意なジャンルは、嫌がらせやストーカーの撃退や対人トラブル。 監修者・執筆者一覧へ
Ranking
不安の正体は「異常」ではなく、情報不足による思考の暴走です。
反論よりも「事実整理」が誤解を止めます。
騒音は感覚ではなく、記録で判断します。
不安は「違法か合法か」を知ることで減らせます。
感情と事実を分けないと、問題は長引きます。
証明は「感覚」ではなく「積み重ね」です。
心理を知らずに対処すると逆効果になります。
単独犯と決めつけると見誤ります。
「監視か不安か」を切り分けることが第一歩です。
状況に合わない対処は危険です。
まずは「本当に侵害されているか」を確認します。
iPhoneは「症状の見極め」が重要です。
思い込みと事実を分けることが第一歩です。
原因は一つとは限りません。
知らないと見逃します。
感情対応より「削除と証拠」が優先です。
放置せず、記録と相談が回復の第一歩です。
初動対応で被害の広がりは変わります。
調べられること・調べられないことがあります。
技術を知ることが最大の防御になります。
被害相談で多く見られる傾向や背景を整理し、「なぜ起きたのか」を考える視点を解説。
職場や日常で問題になりやすいハラスメントの種類と特徴を一覧で整理。
いじめの類型を整理し、状況に応じた相談先の考え方をまとめています。
無自覚に起こりやすい言葉のハラスメントを具体例で整理。
職場以外で起こりやすいハラスメントの特徴や考え方を解説。
ストーカー・嫌がらせ対策専門窓口ホットラインは24時間受付ております。電話相談は何度でも無料です。
ご相談の段階では匿名でのご相談が可能です。調査が必要かわからない方も気軽にお問合せ下さい。
Copyright(C) ストーカー・嫌がらせ対策専門窓口. All Rights Reserved.
(C) ストーカー・嫌がらせ対策専門窓口
MENU