そのクリックが命取りに。PCを乗っ取る新型詐欺「偽CAPTCHA」の手口とは？

「CAPTCHA」は、ログインやアカウント登録、ネットショッピングの決済画面などで、人間とボットを見分けるのに使われるオンライン認証のフォームです。

一連の歪んだ文字や、信号など特定の物が含まれる写真をすべてを正しく認識できれば、そのサイトやアプリが利用できるようになります。

しかし、このCAPTCHAやGoogleの「reCAPTCHA」が広く使われているからといって、必ずしも無害なわけではありません。

ユーザーが何も考えずにCAPTCHAを操作することに慣れているのを逆手に取り、サイバー犯罪者たちはこの仕組みを悪用し、マルウェアを拡散させる方法を編み出しているのです。

偽のCAPTCHAがマルウェアを実行する方法

CAPTCHA詐欺は、「ClickFix」というソーシャルエンジニアリングの手法を使って、ユーザーに悪意のあるプログラムをダウンロードさせ、インストールさせることで、遠隔操作やキーストローキング（キー入力を記録すること）をしたり、個人情報を盗んだりします。

偽のCAPTCHAを操作すると、悪意あるWebsサイトがコマンドをクリップボードにコピーし、マルウェアのコードを実行できるようになります。

「Malwarebytes Labs」によると、このようなCAPTCHAの攻撃は、映画、音楽、ニュースなど人気のあるコンテンツにアクセスしようとした時に起動することが多いですが、詐欺メールや悪質ある広告を介して拡散されることもあります。

ユーザーがロボットではないことを確認するCAPTCHAのポップアップ画面が表示し、その後一連のキー入力を含む認証手順のある別の画面に飛ばされます。

その指示に従うと、PowerShellスクリプトが実行され、マルウェアがダウンロード、インストールされてしまいます。

CAPTCHA詐欺から身を守る方法

本物のCAPTCHAやreCAPTCHAの認証プロンプトもたくさんありますが、「特定のキーの組み合わせを押してください」とか「デバイスでコマンドを実行してください」といった指示が含まれるものは、間違いなく偽物です。

信頼できるCAPTCHAは、ソフトウェアや拡張機能のダウンロードを指示することはありません。

よく知らないサイトや信頼できないリンク先で表示されるCAPTCHAには特に注意が必要で、そのようなポップアップ画面の指示に何も考えずに従ってはいけません。

こうした詐欺は、ユーザーがCAPTCHAのような日常的な操作をあまりにも素早くこなし、危険なサインに気づかない「認証疲れ」を悪用しているのです。

「Malwarebytes Labs」では、ブラウザのJavaScriptを無効にすることも推奨しています。これによって、悪意あるサイトがユーザーのクリップボードにアクセスするのを防ぐことができます。

JavaScriptを無効にするのは、オンラインのセキュリティやプライバシーを強化するのには有効ですが、Webサイトの一部の機能が壊れ、実質的に使用できなくなることもあります。

この方法は、よく知らない、もしくは信頼できないページを閲覧するときだけ使った方がいいでしょう。