CAPTCHA悪用しセキュリティ機構回避するマルウェア　マイクロソフトが警告

　ゆがんで表示された文字を人間の目で見て正確に入力することで、人間なのかコンピューターなのかを判断するのに使われている「CAPTCHA」。そんなCAPTCHAをハッキングに使う事例があるそうで、Microsoftが警告を出している。ハッキングの手法は、メールによるURL誘導や添付ファイルを使用し、トロイの木馬「GraceWire」をダウンロードさせるというもので、ここまでは一般的なフィッシング攻撃だ。

　特徴的なのは、このファイルをダウンロードさせる段階でCAPTCHAを解かせている点。URLで誘導された先は、CloudflareのDDoS保護ページを偽装したものとなっており、アクセスのためにユーザーがGoogle reCAPTCHAを解決する必要がある。一見、手間がかかるだけで、メリットがないように見えるが、被害者本人にCAPTCHAを解かせることで、セキュリティサービスやブラウザなどに実装されている「自動検出」を回避でき、トロイの木馬を仕込みやすくなるという（GIGAZINE、Hacking News）。

スラドのコメントを読む | ITセクション | 犯罪 | ボットネット

　関連ストーリー：
チケット販売サイト「e+」、ボット対策の導入によりチケット自動購入ボットをほぼ殲滅 2018年12月30日
「人間には突破できないCAPTCHA認証」を人力で突破しようと挑戦する人達 2018年02月14日
Googleが新型CAPTCHAを開発 2014年12月05日
Googleストリートビュー向けの画像認識アルゴリズムを使うと非常に高い精度でのCAPTCHAを解読できる 2014年04月21日