ShadowCaptchaキャンペーン解説 - サイバー攻撃の構造と対策
1. 攻撃の概要と背景
ShadowCaptchaキャンペーンは、2025年8月に発見されたWordPressサイトを標的としたサイバー攻撃です。100件以上のサイトが被害を受け、認証情報収集、暗号資産マイニング、ランサムウェア展開を目的としています。
- 名称: ShadowCaptcha
- 発見時期: 2025年8月
- 対象: WordPressサイト(100件以上)
- 目的:
- 認証情報の収集(ブラウザデータ、ログイン情報)
- 暗号資産の不正採掘(XMRig)
- ランサムウェアの展開(Epsilon Red)
2. 感染の流れと技術的特徴
(1) 感染の流れ
初期感染
- 攻撃者がWordPressサイトに悪意のあるJavaScriptを挿入。
- ユーザーが訪問すると、偽のCAPTCHAページ(CloudflareやGoogle風)にリダイレクト。
ClickFixによる誘導
- ページ上の指示に従って、ユーザーが以下のいずれかを実行:
- Windowsの「ファイル名を指定して実行」でコマンド入力
- ページをHTAファイルとして保存し、mshta.exeで実行
ペイロードの分岐
| 実行方法 |
結果 |
| Runダイアログ経由 |
Lumma / Rhadamanthys スティーラーがMSI経由で展開 |
| HTAファイル実行 |
Epsilon Red ランサムウェアがインストール |
(2) 技術的特徴
- JavaScriptによる自動コマンドコピー:
navigator.clipboard.writeTextで悪意あるコマンドをクリップボードにコピー- ユーザーが意図せず貼り付けて実行する可能性あり
- アンチデバッグ技術:
- DLLサイドローディング:
- 暗号資産マイニング:
XMRigを使用- 一部はPastebinから設定を取得し、動的にパラメータ変更
WinRing0x64.sysドライバを悪用し、CPUレジスタに直接アクセスして効率向上
3. 感染地域と業種
- 感染地域:
- オーストラリア、ブラジル、イタリア、カナダ、コロンビア、イスラエル
- 業種:
4. 対策と防御策
(1) ユーザー側の防御策
ブラウザ操作の注意
- CAPTCHAページでのコマンド入力やファイル保存を絶対に行わない
- クリップボードに自動コピーされた内容は貼り付け前に確認
- 開発者ツールが無効化されているページは即座に閉じる
実行ファイルの警戒
.hta, .msi, .exe ファイルは信頼できるソース以外から絶対に実行しないmshta.exe, msiexec.exe の起動履歴を監視し、異常があれば遮断
セキュリティソフトの導入
- リアルタイム保護機能付きのアンチウイルスを常時稼働
- DLLサイドローディング検知機能を有効化
(2) WordPress管理者・運営側の防御策
サーバーとCMSの保護
- WordPress本体・プラグイン・テーマを常に最新版に更新
- 不要なプラグインは削除し、攻撃対象を減らす
ファイル改ざん検知
wp-content, wp-includes, header.php, footer.php などに不審なJavaScript挿入がないか定期スキャン- WAF(Web Application Firewall)を導入し、外部からのコード挿入を遮断
ユーザー認証強化
- 管理画面へのアクセスに多要素認証(MFA)を導入
- 管理者アカウントのIP制限やログイン試行回数制限を設定
(3) ネットワーク・システム側の防御策
プロセス監視
mshta.exe, msiexec.exe, powershell.exe の異常な起動を検知・遮断WinRing0x64.sys などの不審なドライバ読み込みをブロック
通信制御
- PastebinやGitHubなどの外部スクリプト取得先をフィルタリング
- DNSログを監視し、異常なドメインアクセスを検出
(4) ログと復旧体制
- すべての実行ログ・通信ログを保存
- 感染時は即座にネットワーク分離し、バックアップから復旧
- ランサムウェア対策としてオフラインバックアップを定期取得
5. 対策の効果と評価
(1) ユーザー側対策の効果
| 対策 |
効果 |
備考 |
| 偽CAPTCHAの識別 |
高 |
攻撃の初期段階で遮断可能。URL確認と挙動の違和感で防止。 |
| クリップボード操作の警戒 |
中 |
自動コピーされたコマンドを貼り付けなければ感染しないが、誤操作のリスクあり。 |
| 実行ファイルの拒否 |
高 |
.hta, .msi を実行しなければペイロードは起動しない。 |
| セキュリティソフトの導入 |
中〜高 |
製品によるが、リアルタイム検知とサンドボックス機能が有効。 |
(2) WordPress管理者向け対策の効果
| 対策 |
効果 |
備考 |
| コア・プラグインの更新 |
高 |
既知の脆弱性を塞ぐことで侵入経路を遮断。 |
| ファイル改ざん検知 |
高 |
JavaScript挿入を早期発見できれば感染拡大を防止。 |
| 管理画面の保護(MFA/IP制限) |
高 |
攻撃者による管理者権限取得を防止。 |
(3) システム・ネットワーク側対策の効果
| 対策 |
効果 |
備考 |
| プロセス監視 |
高 |
mshta.exe, msiexec.exe の異常起動を即遮断可能。 |
| 通信制御(Pastebin/GitHub) |
中 |
外部スクリプト取得を遮断できるが、攻撃者が別の経路を使う可能性あり。 |
| ドライバ検査 |
中 |
WinRing0x64.sys のような悪用ドライバをブロック可能。ただし完全検知は困難。 |
(4) ログ管理・復旧体制の効果
| 対策 |
効果 |
備考 |
| ログ保存と分析 |
中 |
感染後の追跡と範囲特定に有効。事前防御にはならない。 |
| オフラインバックアップ |
高 |
ランサムウェア感染後の復旧が可能。被害を最小化。 |
6. 推奨実施順序
(1) 個人ユーザー向け
第1段階:感染防止(最優先)
- 実行ファイルの拒否 →
.hta, .msi, .exe を絶対に実行しない。これだけでペイロードの起動を遮断。
- 偽CAPTCHAの識別訓練 → 本物との違い(URL、挙動)を理解。違和感があれば即離脱。
- セキュリティソフトの導入と設定 → リアルタイム保護とHTA検知機能を有効化。
第2段階:検知と遮断
- クリップボード操作の警戒 → 自動コピーされたコマンドは貼り付け前に確認。
- プロセス監視ツールの導入 →
mshta.exe, msiexec.exe の異常起動を検知。
第3段階:復旧準備
- オフラインバックアップの定期取得 → ランサムウェア感染時の復旧手段を確保。
(2) WordPress管理者向け
第1段階:感染防止(最優先)
- WordPress本体・プラグインの更新 → 脆弱性を塞ぎ、改ざんの入口を遮断。
- 不要なプラグインの削除 → 攻撃対象を減らす。
- 管理画面のMFA/IP制限導入 → 管理者権限の奪取を防止。
第2段階:改ざん検知と遮断
- ファイル改ざん検知ツールの導入 →
header.php, footer.php などに不審なコードがないか監視。
- WAF(Web Application Firewall)の設定 → JavaScript挿入や外部通信を遮断。
第3段階:復旧準備
- ログ保存と分析体制の構築 → 攻撃範囲の特定と再発防止に活用。
- バックアップの分離保存と復元テスト → 感染時の復旧を即座に実行可能に。
(3) システム・ネットワーク管理者向け
第1段階:感染防止
- プロセス監視とEDR導入 →
mshta.exe, msiexec.exe, powershell.exe の異常起動を遮断。
- 外部スクリプト取得先のフィルタリング → Pastebin, GitHub などからのコード取得を遮断。
第2段階:持続的感染の遮断
- DLLサイドローディング検知ルールの設定 → 正規プロセスへの偽装を検知。
- 不正ドライバの読み込み制限 →
WinRing0x64.sys などの悪用を防止。
第3段階:復旧と追跡
- SIEMによるログ分析とアラート設定 → 攻撃の痕跡を即座に検出。
- ネットワーク分割と感染範囲の隔離 → 横展開を防止し、被害を局所化。
7. 総合評価
- 最も効果が高いのは「実行遮断」と「初期検知」:ユーザーがHTAやMSIを実行しなければ、攻撃は成立しない。
- WordPress管理者の対策が感染拡大の根本防止に直結:改ざん検知と更新が最重要。
- ネットワーク側は補助的だが、横展開や持続的感染を防ぐ上で有効。
コメント