1995年からずっと伝わる、ホットなコンピュータのヒントをご紹介します。Windowsの「ファイル名を指定して実行」コマンドバーに、適当な文字列を入力しないでください。PCで「ファイル名を指定して実行」が何を意味するかを知っている人なら、これは当然のことのように思えるかもしれません。しかし、ある奇妙なほど愚かでありながら巧妙なマルウェアが、この方法でWeb上に拡散しています。聞くほど愚かではありませんが…それでも、かなり愚かな行為であることに変わりはありません。
ストーリーはこうです。あなたは少し怪しいサイト、あるいは怪しい広告に対して十分な警戒をしていない普通のサイトを閲覧しています。するとCAPTCHAアラートが表示され、ロボットではないことを示すために小さなボックスをクリックするように指示されます(これはどんな自動ツールであれ、ちょっとおこがましい行為ですが、それはさておき)。しかし、意味不明なテキストを綴ったり、街灯のある四角形を全部クリックしたりするのではなく、番号付きの手順リストで人間であることを証明するように指示されます。
MalwareBytes Labsは、ユーザーに3つの通常とは異なる手順を要求するCAPTCHAを発見しました。まず、Windowsキー+Rキーを押します。次に、Ctrlキー+Vキーを押します。最後に、Enterキーを押します。
少しでもWindowsを使っているなら、頭の中で警鐘が鳴っているはずです。ポップアップの「検証」は、Windowsの「ファイル名を指定して実行」コマンドを開き、「私はロボットではありません」をクリックした際にサイトがJavaScript経由でクリップボードにこっそりと保存した短いテキストを貼り付けて実行させようとしているのです。Windowsでしか機能せず、しかも技術にあまり詳しくないユーザーにもしか機能しないとはいえ、これはかなり巧妙な手口です。
しかし、巧妙なのはここです。サイトがクリップボードにコピーしたテキストは、「私はロボットではありません - reCAPTCHA検証ID: XXXX」といった文字列で始まります。これは、デフォルトの表示で「実行」コマンドを横一列に並べるのと全く同じ長さです。「実行」ウィンドウの枠の外側に隠れていて見えませんが、これはウェブサーバーから特定のファイルをダウンロードするMshtaコマンドのトリガーです。
MalwareBytes によれば、これらは通常、メディア ファイルや HTML ファイルに偽装されていますが、実際にはシステム上の個人情報を探し出してリモートの場所に中継するように設計されたツール、または単に昔ながらのリモート コントロール トロイの木馬です。
この設定は、CAPTCHA認証へのほぼ自動的な応答、Windowsの基本に対する少々の無知(これは、単に技術に詳しくない人や、ノートパソコンよりもスマートフォンやiPadの方がはるかに使い慣れている若者の両方にとって問題だと思います)、ファイル名を指定して実行コマンドウィンドウの時代遅れのユーザーインターフェース、そして見慣れないウェブサイトでJavaScriptの実行を許してしまうようなセキュリティ設定の甘さに依存しています。先ほども言ったように、これは愚かでありながら、ある意味素晴らしいものです。
Windows 10 または 11 の基本的なセキュリティ機能は、ダウンロード時に悪意のあるファイルを警告するはずです。JavaScript の検証を必要とするブラウザベースのセキュリティ機能も同様です。しかし、MalwareBytes の研究者によると、この設定は複数の実装で確認されており、様々な不正ペイロードが含まれているため、おそらく誰かが騙されていると考えられます。
著者: Michael Crider、PCWorld スタッフライター
マイケルはテクノロジージャーナリズムのベテランとして10年のキャリアを持ち、AppleからZTEまであらゆるテクノロジーをカバーしています。PCWorldではキーボードマニアとして活躍し、常に新しいキーボードをレビューに使用し、仕事以外では新しいメカニカルキーボードを組み立てたり、デスクトップの「バトルステーション」を拡張したりしています。これまでにAndroid Police、Digital Trends、Wired、Lifehacker、How-To Geekなどで記事を執筆し、CESやMobile World Congressなどのイベントをライブで取材してきました。ペンシルベニア州在住のマイケルは、次のカヤック旅行を心待ちにしています。
