2020【今日の批評】191「私はロボットではありません」認証しただけでマルウェア感染 | IT批評家の戯言

IT批評家の戯言

元IT屋が考える思う事

━━━━━━━━━━━━━━
「私はロボットではありません」認証しただけでマルウェア感染の可能性があるって本当?

「私はロボットではありません」。

Webサイトの会員登録画面や
ログイン画面などで目にする

CAPTCHA

と呼ばれる認証機能で、判読しにくい
文字列や数字を読み取って入力、
またはパネル状に配置された画像の中から
指定の画像を選択させることで、
botによる操作ではないことを
機械的に判別する機能です。

カーネギーメロン大学ピッツバーグ本校で
開発されたこの機能をGoogleが買い取り、
無償で提供しているものを

reCAPTCHA

と呼びます。

触れたことのないという人は
少ないのではないでしょうか?

そんなCAPTCHA、もしくはreCAPTCHAを
悪用しマルウェアに感染させる脅威が
発見されたといいます。

CAPTCHAを悪用してクラッキングする
グループをMicrosoftの
セキュリティ対策チームが発見し、
同チームの公式Twitterにて公表しました。



Microsoftは以前より、悪意のある
Excelファイルを配布している
クラッカーグループを追跡していました。

その1つである「CHIMBORAZO」という
クラッカーグループの手口が
今回明らかになったようです。

Microsoftの研究チームによれば、
reCAPTCHA自体になりすます
というような攻撃手段は
以前からありますが、CAPTCHAの認証で
自動検出を回避する攻撃手段は
珍しいとのことです。

まだWebブラウザでも対応が
できていないようなので、
正式なアナウンスがあるまで
謎のCAPTCHAには注意して
欲しいと思います。

もうクラッカー(ブラックハッカー)とは
いたちごっこですね。

恐らく未だにわかっていない脆弱性が
幾つかあるでしょうから、ゼロディ攻撃を
受ける可能性があります。

今回のようなアナウンスが無くても
日頃の動きに注意して欲しいと思います。

※ 本文中、ハッカーはクラッカーではない
 の信条からハッカーとの記載を
 クラッカーと表現しています。