マカフィーの調査チームがセキュリティツール「CAPTCHA」に
紛れた偽物を発見、マルウェアが巧妙に仕組まれたゲートウェイ
オールインワンの保護対策 推奨
プライバシー、ID、および様々な個人用デバイスに対する、マカフィーの最も包括的な保護対策。
個人と家族の対策
ID 保護と VPN でデバイスを保護します。
デバイスの保護対策
無料ツールとダウンロード
その他サービス
最新情報
さらに詳細をみる
プレスとニュース
2024年10月3日
オンラインのセキュリティ対策製品を提供しているマカフィー株式会社(本社:東京都千代田区)の調査チームは、複数の国を対象としたマルウェアの動きを観察する中で、セキュリティツール「CAPTCHA」が、Lumma Stealer(ユーザーの認証情報を窃取するマルウェア)の配布に悪用されている感染連鎖を発見しました。
CAPTCHAとは、「Completely Automated Public Turing test to tell Computers and Humans Apart」の略であり、人間とコンピューターを区別するために使用されるセキュリティ対策です。ユーザーが簡単なクイズに回答することで、ウェブサイトやオンラインプラットフォームにおけるスパムや不正アクセスなどの自動化ツールによる悪用を防ぎます。日本では、一連の歪んだ文字や数字を入力するテキストベースのクイズや、特定のオブジェクトや形状を含むイラストを選択するCAPTCHAのクイズが、アカウントページにログインする際や、オンラインショッピングの支払い画面などで多く利用されています。
以下の地図は、偽のCAPTCHA URLにアクセスするデバイスのジオロケーション(ユーザーの位置情報を取得する技術や機能)を示すもので、攻撃対象が全世界的に分布していることが分かります。
図1:偽CAPTCHAの攻撃対象範囲
マカフィーは、偽のCAPTCHAページにユーザーを誘導する2つの感染経路を特定しました。クラッキング(システムに不正アクセスすること)されたゲームのダウンロードURLからと、フィッシングメールを通じてです。GitHub(ギットハブ:プログラムのソースコードをオンライン上で公開・共有できるプラットフォーム)のユーザーは、フィッシングメールによって攻撃の対象にされ、ユーザーが利用しているプロジェクトリポジトリ(コードやファイルを保存するデータベースのような役割を果たす場所)にある架空の「セキュリティ脆弱性」に対処するように促されます。このようなメールは、ユーザーに対して、セキュリティ上の問題に関してさらなる情報を得るために “github-scanner[.]com” を訪れるように指示を出します。
ClickFix(攻撃キャンペーン)の感染連鎖では、「あなたが人間であることを認証する」や「私はロボットではありません」のようなボタンをクリックするようにユーザーを欺くことで作動します。一度クリックすると、悪質なスクリプトがユーザーのクリップボードにコピーされます。ユーザーは、「Windowsキー + R」を押した後にスクリプトを貼り付けるように誤導され、知らないうちにマルウェアのインストールを実行してしまいます。この方法は、感染プロセスならびに攻撃者によるマルウェアの展開を容易にします。
図2:感染連鎖
攻撃経路の技術的分析
主に2つの攻撃経路を通じてユーザーを偽のCAPTCHAページにリダイレクト( WebサイトやページのURLを変更した際に、自動的に別のURLに転送する仕組み )させます。
1. クラッキングされたゲームソフトウェアのダウンロードURL
ゲームソフトウェアの海賊版やクラック版をダウンロードしようとするユーザーは、悪質なCAPTCHAページにリダイレクトされます。また、インターネットで人気のビデオゲームの無料版やクラック版を検索すると、悪質なリンクにリダイレクトする可能性のあるネット掲示板、コミュニティ投稿、誰でもアクセスできるパブリックリポジトリが検索結果に表示される可能性があります。
リダイレクトされたページでは、「私はロボットではありません」とのページが表示され、ユーザーがボタンをクリックすると、悪質なPowerShellスクリプト(コマンドをファイルに記述して保存し、まとめて実行する仕組み)がクリップボードにコピーされ、それを実行するように促されます。
2. GitHubを装ったフィッシングメール
第2の経路では、ユーザーはフィッシングメールを受け取り、「セキュリティ脆弱性」があるという偽の警告を解決するように促されます。特にGitHubのユーザーがターゲットにされやすい傾向にあります。こういったメールには、偽のCAPTCHAページにつながるリンクが含まれています。
図3:GitHubを装ったフィッシングメール
ユーザーがリンクをクリックすると、偽のCAPTCHAページにリダイレクトされます。
図4:偽のCAPTCHAページ
検知と緩和戦略
マカフィーはこの感染連鎖を複数の段階にわたって防御します。
図5:マカフィーがURLをブロックしている様子
図6:マカフィーが悪質な動作をブロックしている様子
まとめ
ClickFixの感染連鎖は、サイバー攻撃者がクラック版のソフトウェアのダウンロードやフィッシングメールへの対応といった一般的なユーザーの行動を利用して、Lumma Stealerのようなマルウェアを配布する方法を示しています。攻撃者は、偽のCAPTCHAページを利用してユーザーを欺き、検出を回避する悪質なスクリプトの実行を促し、結果的にマルウェアのインストールにつなげます。
感染連鎖は、クラック版のゲームソフトウェアのダウンロードURLとGitHubを装ったフィッシングメールの2つの主要なベクトルを通じて作動します。どちらの場合も、ユーザーは悪質なCAPTCHAページにリダイレクトされてスクリプトが実行、マルウェアがダウンロードおよびインストールされます。多層的な暗号化の使用は、さらに検出と分析を複雑にし、これらの攻撃をより高度なものにし、セキュリティ防御を困難にします。
マカフィー・ラボでは、ClickFixのソーシャルエンジニアリングの手法といった高度なサイバー脅威から組織を守ることに全力を尽くしています。
推奨の緩和策と修復策:
マカフィーについて
マカフィーは、消費者と中小企業向けのオンライン保護のグローバル・リーダーです。デバイスだけでなく人を保護することにも重点を置くマカフィーの消費者および中小企業向けのソリューションは、常時オンラインの世界におけるユーザーのニーズに適応し、適切なタイミングとセキュリティで家族、地域社会、ビジネスを保護する、総合的で直感的なソリューションを通じて、ユーザーが安全に生活できるよう支援します。詳細情報については、https://www.mcafee.com/ja-jp/index.html をご覧ください。
*McAfee、マカフィー、McAfeeのロゴは、米国およびその他の国における米国法人 McAfee, LLCまたはその関連会社の商標又は登録商標です。
【本件に関するお問い合わせ先】
McAfee Japan 広報代理(ウェーバー・シャンドウィック)
E-MAIL: mcafeejp-pr@webershandwick.com
ヨーロッパ