警視庁、偽のCAPTCHA画面でマルウェアをインストールさせる手口に注意喚起

　警視庁サイバーセキュリティ対策本部は、ウェブサイトにアクセスしたユーザーが人間であることを確認するCAPTCHA画面に偽装して、マルウェアをインストールさせる手口が増えているとして注意喚起をしている。

　偽のCAPTCHA画面で人間であることを証明する方法と偽り、［Windows］＋［R］キーを押すことで「ファイル名を指定して実行」を表示した後、［Ctrl］＋［V］キーを押して［Enter］キーを押すように指示される。

　この操作手順は、偽のCAPTCHA画面がクリップボードにコピーした悪意のあるコマンドを、「ファイル名を指定して実行」の入力ボックスに貼り付け、実行するまでのもの。この手順で操作することで悪意のあるコマンドが実行され、マルウェアをインストールされるなどの被害が発生してしまう。

　これは、悪意のあるコマンドをユーザー自身に実行させる「ClickFix」と呼ばれる攻撃手法の典型的なパターンの1つだ。

　警視庁は、不審なメールや広告のリンク先で急に出たCAPTCHA画面はクリックせずに閉じることと、指示されたコマンドを安易に実行しないことを求めている。