【ITニュース解説】ShadowCaptcha Exploits WordPress Sites to Spread Ransomware, Info Stealers, and Crypto Miners

作成日: 2025年09月03日更新日: 2025年09月04日

ITニュース概要

改ざんされた100以上のWordPressサイトが、訪問者を偽のCAPTCHA認証ページに誘導。ソーシャルエンジニアリング手法を使い、ランサムウェアや情報窃取マルウェア、仮想通貨マイニングツールなどを配布する大規模攻撃が確認された。

出典: ShadowCaptcha Exploits WordPress Sites to Spread Ransomware, Info Stealers, and Crypto Miners | The Hacker News公開日: 2025年08月26日

ITニュース解説

Webサイト構築に広く利用されているWordPressを標的とした、新たな大規模サイバー攻撃キャンペーンが確認された。この攻撃は「ShadowCaptcha」と名付けられ、侵害したWordPressサイトを足がかりに、サイト訪問者のコンピューターへマルウェアを感染させることを目的としている。この攻撃は、技術的な脆弱性だけでなく、人間の心理的な隙を巧みに利用するソーシャルエンジニアリングの手法を組み合わせている点が特徴である。攻撃の第一段階として、攻撃者はまずWordPressで構築されたWebサイトそのものを乗っ取る。乗っ取りの手口は様々だが、多くはWordPress本体やプラグイン、テーマなどに存在するセキュリティ上の脆弱性を悪用したり、管理者アカウントのパスワードを破ったりすることで行われる。管理権限を奪取した攻撃者は、サイトの内部に悪意のあるコードを埋め込む。このコードは、サイトを訪れたユーザーを、攻撃者が用意した別の悪質なWebページへ自動的に転送（リダイレクト）する機能を持つ。サイト訪問者は、正規のサイトにアクセスしたつもりが、本人の知らないうちに攻撃者の罠が仕掛けられたページへと誘導されてしまう。この誘導先となるのが、本物のWebサイトでよく見かけるCAPTCHA認証画面を模倣した偽のページである。CAPTCHAとは、アクセスしているのが人間かコンピュータープログラム（ボット）かを判別するための仕組みであり、「私はロボットではありません」というチェックボックスなどがよく知られている。攻撃者はこの見慣れた画面を偽装することで、訪問者を油断させる。この偽のCAPTCHAページで用いられるのが、「ClickFix」と呼ばれるソーシャルエンジニアリング戦術だ。ページには「認証を完了するにはクリックしてください」といったメッセージが表示され、ユーザーに特定のボタンやリンクをクリックするよう促す。多くのユーザーは、これを正規の認証プロセスの一部だと信じ込み、疑うことなく指示に従ってしまう。しかし、このクリックこそがマルウェア感染の引き金となる。ユーザーが指定された場所をクリックすると、バックグラウンドでマルウェアを含むファイルが自動的にダウンロードされる仕組みになっているのだ。ユーザーは認証が成功したと思い込み、ダウンロードされたファイルを実行してしまうことで、自身のコンピューターをマルウェアに感染させてしまう。 ShadowCaptchaキャンペーンを通じて配布されるマルウェアは、主に三つの種類が確認されている。一つ目は「情報窃取型マルウェア（インフォスティーラー）」である。これに感染すると、コンピューター内に保存されているWebサイトのログインIDやパスワード、クレジットカード情報、個人情報などが盗み出され、攻撃者のサーバーに送信される。これにより、不正アクセス、金銭的被害、個人情報の漏洩といった深刻な被害につながる可能性がある。二つ目は「ランサムウェア」だ。これはコンピューター内の文書、写真、動画などのファイルを勝手に暗号化し、使用できない状態にしてしまう。そして、ファイルを元に戻すことと引き換えに、身代金（ランサム）を要求する。たとえ身代金を支払ったとしても、ファイルが元に戻る保証はなく、極めて悪質なマルウェアである。三つ目は「暗号資産マイナー」だ。感染したコンピューターの計算能力（CPUやGPU）を勝手に利用し、ビットコインなどの暗号資産（仮想通貨）を生成（マイニング）して攻撃者の利益にする。感染したコンピューターは、常に高負荷な処理を強制させられるため、動作が極端に遅くなったり、消費電力が増加して電気代が高騰したりといった影響が現れる。この攻撃は、Webサイトの管理者と一般の利用者の双方に警鐘を鳴らすものである。システムエンジニアを目指す者としては、まず開発・運用者側の視点を持つことが重要だ。WordPressサイトを安全に保つためには、本体、プラグイン、テーマを常に最新の状態に更新し、脆弱性を放置しないことが基本となる。また、推測されにくい強力なパスワードを設定し、可能であれば二要素認証を導入することで、不正アクセスのリスクを大幅に低減できる。同時に、エンドユーザーをだます手口を理解することも不可欠だ。ShadowCaptchaは、最終的にはユーザー自身のクリックによってマルウェアを侵入させる。これは、システムが技術的に完璧であっても、それを使う人間がだまされてしまえば攻撃は成功するという事実を示している。システムを構築するだけでなく、利用者がどのような手口で狙われるのかを想定し、セキュリティ意識を高める啓発もまた、エンジニアの重要な役割の一つと言えるだろう。今回の事例は、サイバー攻撃が単なる技術的な攻防ではなく、人間の心理を突いた複合的な脅威であることを改めて示している。