2024年12月16日 / 最終更新日 : 2024年12月11日 okwebkatu 五島一輝

CAPTCHAを悪用した新手のサポート詐欺にご用心

CAPTCHA(キャプチャ)を悪用した新しいタイプのサポート詐欺が出現しています。安全性を高めるため仕組みを悪用する卑劣な手口です。
  
今回は、この詐欺の仕組みと具体的な手口、そして予防策について解説します。
  

<<<詐欺の具体的な手口>>>
  
CAPTCHAとは、ボット(自動プログラム)ではなく人間が操作していることを確認するための画像認証システムです。
ウェブサイトで「信号機を選んでください」や「文字を入力してください」といった認証を見たことがあるでしょう。
この操作によって、サイト運営者はアクセスしているユーザーが、ボットではないことを確認します。
ボットではないと確認することは、サイトへの攻撃の予防やアクセス解析などに役立つのです。
  
1.偽のサポートページへ誘導
詐欺を行おうとする者は、まず、偽のサポートページを用意します。
「あなたのアカウントが不正利用されています」や「セキュリティ更新が必要です」といったうその警告を出して、公式サイトに見せかけた偽のサポートページへ誘導します。
検索結果の広告や、不審なメールのリンクから偽サイトにアクセスしてしまうケースが多いようです。
  
2.CAPTCHAで安心感を与える
誘導されたそのページには、まずCAPTCHAが表示されます。
CAPTCHAが表示されることで、利用者のサイトへの不信感が低下させようとします。
CAPTCHA操作をさせることで、訪問者の意識をCAPTCHAに集中させることで、不信感を抱く契機を奪ったり、CAPTCHA操作を求めるサイトに対しては、なんとなく安心感を抱いたりすることを、詐欺サイト運営側は期待しているのです。
しかし、これはただの演出にすぎません。
アクセスしたサイトは、実際には詐欺サイトなのです。
  
3.「サポート」への接続を要求
訪問者がCAPTCHA操作を完了すると、「サポートチーム」とのチャットや電話番号が提示されます。
これが詐欺師の本丸です。訪問者が連絡をすると、不安を煽られながら遠隔操作ソフトのインストールや個人情報の入力を求められます。

4.CAPTCHA操作に偽装しマルウェアをインストールさせられることも
CAPTCHA操作自体で、マルウェアをインストールさせる手口も確認されています。
例えば、「Lumma Stealer」というマルウェアがインストールされてしまうケースでは、以下のような操作を、CAPTCHA操作と見せかけて、要求します。

  1. 「Windows+R」を押すよう指示し、実行ダイアログボックスを開かせる
  2. 「CTRL+V」で攻撃者が準備した「PowerShell」スクリプトを貼り付け、Enterキーを押すように促す
  3. 2)のスクリプトからユーザーのシステムにLumma Stealerがインストールされる

  
5.被害事例
最近の事例では、ある利用者が「Googleアカウントの異常活動」を警告するメールを受け取り、リンクをクリック。CAPTCHAを完了した後、表示された番号に連絡したところ、詐欺師が「問題解決のため」としてリモートアクセスを要請しました。
最終的に、利用者のクレジットカード情報や銀行口座が抜き取られる被害に発展しました。
  

<<<予防策>>>
  
このような詐欺から身を守るために、以下のポイントを押さえましょう
  
1.公式サイトのURLやドメインを確認する
公式サポートにアクセスする場合は、メールのリンクではなく、信頼できるURLを直接入力したり、検索結果のURLに含まれるドメインを確認するなど、サイトへのアクセスを慎重に行ってください。
  
2.不審なメールやメッセージに注意する
「アカウントが停止されました」「不正アクセスを検出しました」といった緊急性を煽る内容は要注意です。
別の方法でも確認するなどを心掛け、安易に信じないようにしてください。
  
3.CAPTCHAを求められるから安心とは限らない
CAPTCHAを求められたからと言って、そのサイトの安全である保証にはなりません。
CAPTCHA通過後に要求される操作に対し、慎重に対応してください。
ショートカットキーやファンクションキー操作を求められる場合、大抵は詐欺と考えましょう。
  
4.リモートアクセスの要求を拒否する
正規の企業が、個人利用者に、事前の契約もなく、唐突にリモート操作を依頼することは、まず、ありません。
こうした要求があれば、一度電話を切り、公式サポートへ改めて問い合わせをしてください。
  
  
CAPTCHAを悪用した詐欺は、利用者の信頼感を逆手にとる、ある意味、巧みな不正の手口です。
また、このほかにも、新しい詐欺の手口は次々に現れます。
  
とはいえ、基本的なセキュリティ対策と冷静な対応を心がければ、詐欺の被害には遭わずに済みます。
そのためには、自身の知識を常にアップデートし、最新の手口を知るなどによって、詐欺の被害に遭わないよう、心がけることが重要です。
  
このメルマガが、皆様のデジタルライフのお役に立てば幸いです。

スキルアップカテゴリー
五島一輝
廣木秀之

前の記事

【質問】2025年3月までに義務化される3Dセキュア2.0ですが、どうすればよいでしょうか
2024年11月25日