マカフィー株式会社
オンラインのセキュリティ対策製品を提供しているマカフィー株式会社(本社:東京都千代田区)の調査チームは、複数の国を対象としたマルウェアの動きを観察する中で、セキュリティツール「CAPTCHA」が、Lumma Stealer(ユーザーの認証情報を窃取するマルウェア)の配布に悪用されている感染連鎖を発見しました。
CAPTCHAとは、「Completely Automated Public Turing test to tell Computers and Humans Apart」の略であり、人間とコンピューターを区別するために使用されるセキュリティ対策です。ユーザーが簡単なクイズに回答することで、ウェブサイトやオンラインプラットフォームにおけるスパムや不正アクセスなどの自動化ツールによる悪用を防ぎます。日本では、一連の歪んだ文字や数字を入力するテキストベースのクイズや、特定のオブジェクトや形状を含むイラストを選択するCAPTCHAのクイズが、アカウントページにログインする際や、オンラインショッピングの支払い画面などで多く利用されています。
以下の地図は、偽のCAPTCHA URLにアクセスするデバイスのジオロケーション(ユーザーの位置情報を取得する技術や機能)を示すもので、攻撃対象が全世界的に分布していることが分かります。
図1:偽CAPTCHAの攻撃対象範囲
マカフィーは、偽のCAPTCHAページにユーザーを誘導する2つの感染経路を特定しました。クラッキング(システムに不正アクセスすること)されたゲームのダウンロードURLからと、フィッシングメールを通じてです。GitHub(ギットハブ:プログラムのソースコードをオンライン上で公開・共有できるプラットフォーム)のユーザーは、フィッシングメールによって攻撃の対象にされ、ユーザーが利用しているプロジェクトリポジトリ(コードやファイルを保存するデータベースのような役割を果たす場所)にある架空の「セキュリティ脆弱性」に対処するように促されます。このようなメールは、ユーザーに対して、セキュリティ上の問題に関してさらなる情報を得るために “github-scanner[.]com” を訪れるように指示を出します。
ClickFix(攻撃キャンペーン)の感染連鎖では、「あなたが人間であることを認証する」や「私はロボットではありません」のようなボタンをクリックするようにユーザーを欺くことで作動します。一度クリックすると、悪質なスクリプトがユーザーのクリップボードにコピーされます。ユーザーは、「Windowsキー + R」を押した後にスクリプトを貼り付けるように誤導され、知らないうちにマルウェアのインストールを実行してしまいます。この方法は、感染プロセスならびに攻撃者によるマルウェアの展開を容易にします。
図2:感染連鎖
攻撃経路の技術的分析
主に2つの攻撃経路を通じてユーザーを偽のCAPTCHAページにリダイレクト( WebサイトやページのURLを変更した際に、自動的に別のURLに転送する仕組み )させます。
1. クラッキングされたゲームソフトウェアのダウンロードURL
ゲームソフトウェアの海賊版やクラック版をダウンロードしようとするユーザーは、悪質なCAPTCHAページにリダイレクトされます。また、インターネットで人気のビデオゲームの無料版やクラック版を検索すると、悪質なリンクにリダイレクトする可能性のあるネット掲示板、コミュニティ投稿、誰でもアクセスできるパブリックリポジトリが検索結果に表示される可能性があります。
リダイレクトされたページでは、「私はロボットではありません」とのページが表示され、ユーザーがボタンをクリックすると、悪質なPowerShellスクリプト(コマンドをファイルに記述して保存し、まとめて実行する仕組み)がクリップボードにコピーされ、それを実行するように促されます。
2. GitHubを装ったフィッシングメール
第2の経路では、ユーザーはフィッシングメールを受け取り、「セキュリティ脆弱性」があるという偽の警告を解決するように促されます。特にGitHubのユーザーがターゲットにされやすい傾向にあります。こういったメールには、偽のCAPTCHAページにつながるリンクが含まれています。
図3:GitHubを装ったフィッシングメール
ユーザーがリンクをクリックすると、偽のCAPTCHAページにリダイレクトされます。
図4:偽のCAPTCHAページ
検知と緩和戦略
マカフィーはこの感染連鎖を複数の段階にわたって防御します。
- 偽CAPTCHAページのURLをブロック
- mshtaの悪用に対するヒューリスティックなブロック (いつも正解とは限らないが、最適解に近い解を見つけ出すための経験則や発見方法を用いた防御)
図5:マカフィーがURLをブロックしている様子
図6:マカフィーが悪質な動作をブロックしている様子
まとめ
ClickFixの感染連鎖は、サイバー攻撃者がクラック版のソフトウェアのダウンロードやフィッシングメールへの対応といった一般的なユーザーの行動を利用して、Lumma Stealerのようなマルウェアを配布する方法を示しています。攻撃者は、偽のCAPTCHAページを利用してユーザーを欺き、検出を回避する悪質なスクリプトの実行を促し、結果的にマルウェアのインストールにつなげます。
感染連鎖は、クラック版のゲームソフトウェアのダウンロードURLとGitHubを装ったフィッシングメールの2つの主要なベクトルを通じて作動します。どちらの場合も、ユーザーは悪質なCAPTCHAページにリダイレクトされてスクリプトが実行、マルウェアがダウンロードおよびインストールされます。多層的な暗号化の使用は、さらに検出と分析を複雑にし、これらの攻撃をより高度なものにし、セキュリティ防御を困難にします。
マカフィー・ラボでは、ClickFixのソーシャルエンジニアリングの手法といった高度なサイバー脅威から組織を守ることに全力を尽くしています。
推奨の緩和策と修復策:
- ユーザーにソーシャルエンジニアリングの戦術とフィッシングスキームを教育するために、定期的なトレーニングセッションの実施
- すべてのエンドポイントに最新のアンチウイルスとアンチマルウェアソフトウェアをインストールして維持
- フィッシングメールや悪質な添付ファイルをブロックするための頑丈なメールフィルタリングの実装
- マルウェアの組織内での拡散を制限するために、ネットワークセグメンテーション(ネットワークを複数の小さなネットワークに分割する手法)を使用
- すべてのオペレーションシステム、ソフトウェア、アプリケーションが最新のセキュリティパッチで更新されていることを確認
- クラック版のソフトウェアのダウンロードや怪しいウェブサイトの訪問を回避
- 特に知らない人や予期しない発信源からのメールのURLをクリックする前に本当に正しいかどうかを確認
- クリップボードベースのスクリプトの制限と自動スクリプト実行を無効化
- アンチウイルスソリューションを最新の状態に保ち、積極的なスキャンの実施
- 信頼できないサイトで怪しいCAPTCHAのプロンプトを避けるようにユーザーを教育
- 定期的にブラウザ、オペレーションシステム、アプリケーションを更新
- 一時フォルダを監視し、異常または怪しいファイルがないかを確認
マカフィーについて
マカフィーは、消費者と中小企業向けのオンライン保護のグローバル・リーダーです。デバイスだけでなく人を保護することにも重点を置くマカフィーの消費者および中小企業向けのソリューションは、常時オンラインの世界におけるユーザーのニーズに適応し、適切なタイミングとセキュリティで家族、地域社会、ビジネスを保護する、総合的で直感的なソリューションを通じて、ユーザーが安全に生活できるよう支援します。
詳細情報については、https://www.mcafee.com/ja-jp/index.htmlをご覧ください。 *McAfee、マカフィー、McAfeeのロゴは、米国およびその他の国における米国法人 McAfee, LLCまたはその関連会社の商標又は登録商標です。
