「偽CAPTCHA」による巧妙な詐欺被害を探偵目線で解説

「偽CAPTCHA」は、認証サービスCAPTCHAに寄せられる高い信頼性の裏をかいた新しいウイルス感染手法です。

まずはCAPTCHAがどのような仕組みで機能しているか解説し、その上で「偽CAPTCHA」の厄介さについて紹介していきます。

CAPTCHAは「Completely Automated Public Turing test to tell Computers and Humans Apart」（完全に自動化された、コンピューターと人間を区別する公開チューリングテスト）の省略形であり、その名の通り認証を行なっているのが人間なのかロボットなのか区別するためのテストシステムです。

元々は歪曲した画像の中から指定されたテキストを入力する内容でしたが、ロボットの高性能化によって突破されるリスクが増大していきました。

そこでGoogleは、従来のCAPTCHAテストよりも高度な内容のreCAPTCHAテストを実装し、セキュリティ強度を更に高めることに成功しました。

reCAPTCHAテストは画像の認証や「私はロボットではありません」と書かれたチェックボックスへの入力と、それらの操作における人間による挙動化を判別する仕組みが追加されたため、ロボットが突破することはかなり難しくなりました。

このような技術の発展によって、CAPTCHAは高性能な認証システムとしてさまざまなWebサイトやサービスにおいて使用されるようになりました。

「偽CAPTCHA」が巧妙な手法を取っていることがわかりましたが、実際に「偽CAPTCHA」の言われるがままに操作を行なうとどのような被害を受けてしまうのでしょうか。

考えられる被害の種類を紹介していきます。

最も可能性が高いのは、マルウェアへの感染です。

マルウェアはパソコンやスマートフォンなど電子機器に被害を与えるソフトウェアの総称で、コンピューターウイルスやランサムウェアといったものもすべてマルウェアの一種です。

このようなマルウェアが端末内に侵入してしまうと、後述するような多種多様な被害を受けてしまう可能性が出てきてしまいますので、マルウェアへの感染は何としても回避すべきです。

マルウェアが入り込むことで端末内に保存していた個人情報が抜かれてしまい、マルウェア作成者にその内容が知られることとなります。

流出した個人情報は詐欺業者の知るところとなり、さまざまな迷惑電話や迷惑メールが送られてしまうことになるでしょう。

そこからフィッシング詐欺など別種の詐欺被害に波及し、多額の金銭を要求される可能性もあるでしょう。

間違っても怪しい電話に応答して指示通りの行動をしたり、迷惑メールに記載されたURLにアクセスしてはいけません。

「偽CAPTCHA」が最初に確認されたのは旅行予約サイト「Booking.com」上で、旅行施設の運営者向けに仕掛けられたと言われています。

口コミやユーザーからの連絡に偽装されたメッセージが届き、記載されたURLにアクセスすると「偽CAPTCHA」による認証画面が表示され、そこから記録していた顧客の決済情報が抜かれてしまうというものです。

そうして手に入った決済情報を基に、顧客たちにも詐欺メールが次々と送信されてしまったと言われています。

「偽CAPTCHA」の標的はサイトを利用する顧客だけでなく、サイトに登録する企業も同様であることが理解できるでしょう。

「偽CAPTCHA」は初めて確認されてから日の浅いハッキング行為なので、まだ効果的な対策は発見されていません。

Microsoftなどの大手パソコン企業は速やかな対策の拡充を急いでいますが、現状行なえているのは「偽CAPTCHA」を見抜くための専門スタッフのトレーニングのみで技術的な面では後手に回っているのが現状です。

その中でもできる対策としては、やはりセキュリティ対策を最新のものにアップデートすることでしょう。

ウイルス対策ソフトを更新すれば、もしウイルスのリスクが高いサイトにアクセスしても速やかに危険性を探知して警告を出してくれて、被害を未然に回避できる可能性が高まります。

また、「偽CAPTCHA」には本物のCAPTCHAにおいては不要なコマンド入力を求められるため、そのようなコマンド入力は無視して速やかにそのページから離れることが重要です。