CAPTCHAの先にマルウェア

CAPTCHAとかreCAPTCHAって、もうあたり前のようにいろいろなところで見ます。
特定のテーマの写真をクリックせよ、とか、ぐにゃぐにゃになった文字を読み取って入力せよ、とか、そういう入力を要求するものです。
これは、人間とマシンを判別するチューリングテスト、です。
広く利用されるようになりましたので、不思議に感じることはなくなりました。
面倒だと思いますが、安全のためと思えばさほど嫌ではありません。

CAPTCHAを人でないものがくぐり抜けるのは、いまのところ容易ではないと思われます。
なので、CAPTCHAの価値はまだあるように思います。
これは、正当なコンテンツの利用者が人であることを確認することに利用することができます。
しかしそれと同時に、正当でないコンテンツが人でないもの(セキュリティ目的のクローラーなど)に検出されることを防ぐことに利用できます。

道具というものは使い方によって良くも悪くもなるものだと再認識します。
この方法を使って隠されているマルウェアを直接見つけることは現時点では困難です。

しかし、そこまで悲観することもないようです。

CAPTCHAを設置する場合には、CAPTCHAサービスを提供しているAPIを利用するためにCAPTCHAのAPIキーが必要です。
CAPTCHAの後ろに隠されたマルウェアのキャンペーンというものは非常に多数あるのですが、犯罪者はこれらのすべてに独立したCAPTCHAのAPIキーを用意することは通常できないと思われます。
このため、いくつものマルウェアキャンペーンでは、特定のCAPTCHAのAPIキーが使いまわされることとなります。
このため、正当でないことが確認されているコンテンツで利用されていたCAPTCHAのAPIキーと同じものが使われているコンテンツは、なんらかの問題があるコンテンツであると想定できそうなのです。

厳しい状況の中においても、落ち着いて考えれば打てる手がある、ということもあるのですね。
いろいろな脅威が迫ってきますが、冷静に事前対策を進めていくことが重要なのだろうと思います。

参考記事(外部リンク):Cyberattackers Embrace CAPTCHAs to Hide Phishing, Malware
threatpost.com/cyberattackers-captchas-phishing-malware/168684/