パスワードを忘れた? アカウント作成

過去1週間(やそれより前)のストーリは、ストーリアーカイブで確認できますよ。

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30
2020年6月25日のIT記事一覧(全1件)
14221523 story
ボットネット

CAPTCHAを悪用してセキュリティ機構を回避するマルウェアが登場。マイクロソフトが警告 20

ストーリー by nagazou
まさか悪用されるとは 部門より

ゆがんで表示された文字を人間の目で見て正確に入力することで、人間なのかコンピューターなのかを判断するのに使われている「CAPTCHA」。そんなCAPTCHAをハッキングに使う事例があるそうで、Microsoftが警告を出している。ハッキングの手法は、メールによるURL誘導や添付ファイルを使用し、トロイの木馬「GraceWire」をダウンロードさせるというもので、ここまでは一般的なフィッシング攻撃だ。

特徴的なのは、このファイルをダウンロードさせる段階でCAPTCHAを解かせている点。URLで誘導された先は、CloudflareのDDoS保護ページを偽装したものとなっており、アクセスのためにユーザーがGoogle reCAPTCHAを解決する必要がある。一見、手間がかかるだけで、メリットがないように見えるが、被害者本人にCAPTCHAを解かせることで、セキュリティサービスやブラウザなどに実装されている「自動検出」を回避でき、トロイの木馬を仕込みやすくなるという(GIGAZINEHacking News)。

typodupeerror

弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家

読み込み中...