偽Captchaの脅威:信頼されるWebインフラの悪用
現代のウェブ上で、偽のCaptchaや「ClickFix」を装った手口が、最も巧妙で執拗なマルウェア配信メカニズムとして台頭しています。これらのページは、Cloudflareのような信頼できるサービスの正規の認証チャレンジを模倣し、ユーザーを欺いてセキュリティチェックやブラウザ検証を装った悪意のあるコマンドを実行させます。何百万ものユーザーが日常的に遭遇するごく普通のセキュリティ検証画面が、信頼を悪用する武器となっているのです。
9,000を超える偽Captchaエンドポイントに対する最近の大規模な分析は、重要な洞察を明らかにしました。このエコシステムは、単一の脅威アクターによって管理される一枚岩のキャンペーンではなく、信頼されたWebインフラを組織的に悪用する、断片化され急速に進化する不正利用パターンなのです。一つの検証インターフェースの裏には、複数の互換性のない配信モデル、異なるマルウェアファミリー、そして別々のグループによって運営される独立したインフラネットワークが存在し得ます。インターネット規模の視覚的クラスタリングと行動分析を用いたこの調査は、攻撃者がどのようにして信頼を構築するインターフェース層と、基盤となる実行メカニズムを分離したかを示しています。その結果、視覚的な均一性が運用上の混乱を覆い隠し、従来の検出方法では悪用の全容を把握できない脅威の状況が生まれています。
視覚的な均一性と裏側の断片化された実態
Censysの研究者たちは、知覚ハッシュ(pHash)技術を用いて、偽Captchaの挙動を示す9,494の異なるWebアセットを分析し、視覚的な外観に基づいてページをクラスター化しました。その結果、Visual Cluster 0と名付けられた主要なパターンは、観測された偽Captcha活動全体の約70%にあたる6,686のエンドポイントを占めていました。このクラスターは、ユーザーが信頼するよう条件付けられてきたおなじみのレイアウト、タイポグラフィ、インタラクションフローを備え、一般的なCloudflareスタイルの検証チャレンジに酷似しています。
視覚的な一貫性は、正当性を高めるために設計された微妙な細部にまで及んでいます。多くのページは、侵害されたドメインやホスティングドメインのサイト固有のファビコンを動的に組み込み、プラットフォームが承認した検証であるかのような錯覚を作り出します。この圧倒的な視覚的均一性は、当初、脅威アクター間の調整されたキャンペーン活動や共有ツールを示唆していました。しかし、詳細な分析により、全く異なる現実が明らかになりました。統一されたインターフェースの下には、根本的な行動の断片化が隠されていたのです。Visual Cluster 0の6,686のエンドポイントのうち、研究者たちは5,441のアセット(カバー率85.6%)から実行挙動の抽出に成功しています。
巧妙化する多様なマルウェア配信手法
偽Captchaの背後で用いられているマルウェア配信メカニズムは多岐にわたります。主な手法は以下の通りです。
- VBScriptダウンローダー: 1,706のアセットで確認され、Windowsネイティブコンポーネントを使用してリモートスクリプトを取得するインラインローダーを構築します。VBScriptによる配信は、95.164.53.115:5506や78.40.209.164:5506のような高ポートサーバーに集中していました。
- PowerShellベースのダウンローダー: 1,269のアセットで確認され、通常は最小限の難読化でNet.WebClient.DownloadFileメソッドを使用します。さらに252のアセットは、実行時に連結された文字列や文字配列からコマンドを再構築する難読化されたPowerShellを利用していました。PowerShellによる配信は、ghost.nestdns.comやpenguinpublishers.orgのような無関係なドメインを指していました。
- Windows Installerパッケージ (MSIEXEC): スクリプトエンジンを完全に迂回する明確な実行モデルで、マルウェアを配信するために使用されます。1,212のアセットで観測されたこの手法は、検証をテーマにしたパス内の多数の侵害されたドメインでMSIペイロードをホストしていました。
- Matrix Push C2: matrix.cymruとブラウザを介したインフラストラクチャに完全に依存していました。
これらの多様な配信方法が、単一の視覚的インターフェースの背後で共存しているため、従来のシグネチャベースの検出は困難を極めます。
「Living Off the Web」戦略とセキュリティ上の課題
偽Captchaのエコシステムは、Webベースの脅威が「Living Off the Web」(Web上で生きる)と呼ばれる傾向へのより広範な移行を示しています。これは、正規のWebインターフェース、セキュリティの慣習、プラットフォームが承認したワークフローをマルウェア配信メカニズムとして組織的に悪用するものです。断片化と多様性は、従来のセキュリティアプローチにおける重大なギャップを露呈しています。クリップボードの悪用は依然として一般的ですが、Visual Cluster 0のサイトのうちクリップボード関連のJavaScriptを組み込んでいるのは85.6%に過ぎません。
偽Captchaの脅威に対する多層防御戦略
組織は、偽Captchaの全配信モデルに対応する多層防御戦略を採用する必要があります。以下に推奨される戦略を挙げます。
- 信頼を悪用するインタラクションパターンの監視: 予期せぬコンテキストで現れる検証やセキュリティをテーマにしたインターフェース、特に通知許可要求や、無関係なインフラに紐付いた繰り返し行われる「人間による検証」フローがそれに続く場合にフラグを立てて監視します。
- インターフェースの存在とネットワーク挙動の関連付け: 明示的な実行がなくても、ダウンストリームのネットワーク接続、サービスワーカーの登録、プッシュ通知の購読イベントは、侵害を示す可能性があります。
- ユーザー意識向上トレーニングの実施: 正規の検証チャレンジは、クリップボード操作、PowerShellの実行、またはMSIのインストールをほとんど必要としないことをユーザーに教育します。正規のCloudflareチャレンジは、ユーザーにコマンドの実行を指示することはありません。
- 脅威インテリジェンスプラットフォームの活用: Censys Threat Hunt Moduleなどのソースからの厳選された脅威データを使用して、ユーザーが操作する前に既知の偽Captchaインフラをプロアクティブにブロックします。
偽Captchaのエコシステムは、Webベースのマルウェア配信がどのように機能するかにおいて、根本的な変化を意味します。視覚的な均一性が運用上の統一性を上回り、単一の信頼されたインターフェースが複数の互換性のない攻撃手法を覆い隠す、断片化された脅威の状況を作り出しています。攻撃者は、信頼を構築するインターフェース層と、実行および制御インフラストラクチャを効果的に分離し、迅速な適応と回避を可能にしています。一貫したアーティファクトは、もはやマルウェアファミリー、ペイロード、またはコマンド&コントロールサーバーではなく、インターフェース層そのものなのです。ユーザーが受け入れるよう条件付けられているWeb標準化されたセキュリティ体験の内部で活動することで、脅威アクターは模倣するサービスを侵害することなく信頼を獲得しています。防御側にとって、これはパラダイムシフトを要求します。検出戦略は、クリップボードの監視やペイロードの収集を超え、遅延実行、ブラウザを介したプッシュチャネル、インストーラーベースの技術を含む、あらゆる配信モデルを包含する必要があります。