パスワードを忘れた? アカウント作成
14221523 story
ボットネット

CAPTCHAを悪用してセキュリティ機構を回避するマルウェアが登場。マイクロソフトが警告 20

ストーリー by nagazou
まさか悪用されるとは 部門より

ゆがんで表示された文字を人間の目で見て正確に入力することで、人間なのかコンピューターなのかを判断するのに使われている「CAPTCHA」。そんなCAPTCHAをハッキングに使う事例があるそうで、Microsoftが警告を出している。ハッキングの手法は、メールによるURL誘導や添付ファイルを使用し、トロイの木馬「GraceWire」をダウンロードさせるというもので、ここまでは一般的なフィッシング攻撃だ。

特徴的なのは、このファイルをダウンロードさせる段階でCAPTCHAを解かせている点。URLで誘導された先は、CloudflareのDDoS保護ページを偽装したものとなっており、アクセスのためにユーザーがGoogle reCAPTCHAを解決する必要がある。一見、手間がかかるだけで、メリットがないように見えるが、被害者本人にCAPTCHAを解かせることで、セキュリティサービスやブラウザなどに実装されている「自動検出」を回避でき、トロイの木馬を仕込みやすくなるという(GIGAZINEHacking News)。

  • by Anonymous Coward on 2020年06月25日 15時09分 (#3840312)

    ウチのセキュリティソリューションがメール内のURLをチェックするようになってるんだけど、
    トラッキングコード付きURLを全部踏んでくれるおかげで、
    相手方から「お問い合わせありがとうございます」って折り返し営業がバンバン来るんだよね。いや俺は踏んでないし。
    ちゃんと人間が踏んでるかチェックしてくれないと、お互いに時間が無駄だよ。

    ここに返信
    • by Anonymous Coward

      それリンクを踏んだかどうかで見込み客と判断してる、メール送った会社側が悪いんじゃないの
      キャプチャ導入しても、変わらないと思う

    • by Anonymous Coward

      生きているメールアドレスであることが分かればいいんだから合ってるんじゃない?
      その後が無駄になるかどうかは営業の力量次第。

      • by Anonymous Coward

        > その後が無駄になるかどうかは営業の力量次第。

        本当そう

        「お問い合わせありがとうございます」ってめちゃくちゃ可愛い営業の人から電話が掛かってきて
        それが縁で結婚することだってある…かも

    • by Anonymous Coward

      アカウント登録の確認メールとかも勝手にアクセスして本登録完了にされちゃうんじゃないかと心配だわ

      • by Anonymous Coward

        URLに単純にアクセスしただけでは契約完了としてはいけない、みたいなコンセンサスが生まれてくれると良いな。

    • by Anonymous Coward

      メーラーがHTMLメールの外部リソース読むのが問題視されるようになって
      メーラー自身の機能で許可出すまで外部リソース読まなくなって何年だ……?
      それ以前のメーラーでさえ読むのはimgタグとかのだけでリンクまで踏み抜く愚は犯さないんだが、
      十年以上前のメーラー以下のセキュリティ意識しかないのではないか。

      リンク踏んだ時点で不可逆なアクション(アカウント消去やML登録解除、
      第三者が勝手にメールアドレス使った際の認証操作など)が行われたらどうする気なんだろう。
      保護のためにチェックするというのは建前で、
      情報吸い上げるのが主目的でも驚かないかな……
      メール内のURLにプリフィックス付けてチェック掛けるなり、
      通信監視なりでアクセス時にチェック掛けるなりしてれば良いのに。

      セキュリティソリューションでセキュリティ下がってたら世話ないし、
      そんなしょうもない製品は廃止するよう働きかけるべきではないか。

  • by Anonymous Coward on 2020年06月25日 14時47分 (#3840290)

    セキュリティサービスという名のスパイ活動(URL自動収集)で脅威検出できないだけで、ダウンロードされたファイル自体の脅威検出は通常通り行われる。

    #キャプチャや絵を選ばせるのはうざいだけだから廃れて欲しい。何度やってもクリアできないことあるし

    ここに返信
    • by Anonymous Coward

      英数字を入力するタイプなら紛らわしい文字は除外してほしいし、絵の範囲を選択するタイプなら境界付近にあるのはずらしてほしい。

      • by Anonymous Coward

        写真の中から「歩行者」を選択してください
        歩道でバスを待ってる人を選択したらNG

        写真の中から「バイク」を選択してください
        オートバイに混じって置いてある自転車を選択してないとNG

        もうちょっと和訳まともにやってくれと。

        • アメリカ人には常識なのかね?
        • by Anonymous Coward

          歩かないで立っているだけの人を「歩行者」とするのは日本語のバグのような気が

          • by Anonymous Coward

            バグならどう修正するのか興味がある

          • by Anonymous Coward

            日本語でも、「軽車両を選択してください」のときに馬を選択し忘れるとNGだったり

            そんな問題ださないつーの

        • by Anonymous Coward

          もっと酷いのは「自動車」を選択してくださいで自動車が写った写真が1枚もなくて
          信号機が写った写真がいくつかあるから、誤訳かな?って試しに信号機の写真を全部選択したら通っちゃったりなんてのもあったな
          (誤訳なのかバグなのか謎)

          • by Anonymous Coward

            機械学習の正解値付に協力させられているのでたまに微妙な画像が混ざる。
            お題に合致しない画像を提示された場合の反応を見て人間と機械を区別している。
            というのが合致しない画像を出される理由らしい。

  • by Anonymous Coward on 2020年06月25日 16時29分 (#3840366)

    これがリアルタイム監視のアンチウイルスをすり抜ける方法としては、
    https暗号化でアンチウイルスに解析させない+ブラウザのexploit使って任意コード実行+OSのexploitで権限昇格、で行けちゃうのかな?

    たまにssl通信を乗っ取る(man in the middleと同じ)アンチウイルスあるけど、そういうのなら行儀悪いけど防げそう。
    あとはブラウザをサンドボックスとかで走らせておいて、exploitの実行を感知か防ぐとか?

    ここに返信
  • by Anonymous Coward on 2020年06月25日 20時22分 (#3840578)

    連続ダウンロード制限とかも迂回して、安全確認済みのファイルを1クリックでダウンロードできるようにしてくれ

    ここに返信
typodupeerror

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

読み込み中...