Cloudflareがサイト接続の安全性を確認しているというポップアップ詐欺

サイバー犯罪者は、信頼できるブランドを装ってユーザーを有害な行動に誘い込むことを常々行っています。Cloudflareの「サイト接続が安全かどうかを確認」ポップアップ詐欺はその好例です。一見すると正規のCloudflareセキュリティチェックと全く同じように見えますが、実際には完全に詐欺であり、Cloudflareや正規の企業、組織、サービスプロバイダーとは一切関係がありません。その目的は、ユーザーを操作して自身のデバイス上で悪意のあるコードを実行させることです。

マルウェア実行を誘発するように設計された偽のCAPTCHA

この詐欺は、Cloudflareの標準的な認証ページを装っています。一見すると、チェックボックス型のCAPTCHAを備えた、よくある「サイト接続の安全性を確認しています」というページのように見えます。しかし、訪問者がボックスをクリックすると、プロセスは予期せぬ展開を見せます。

実際の検証手順に進む代わりに、ページはユーザーに一連のキーボード ショートカットを押すように指示します。

• Windowsキー+R
• Ctrl + V
• 入力

これらの手順は、正当なセキュリティチェックの一部ではありません。ウェブサイトは、ユーザーのクリップボードに悪意のあるスクリプトを密かに配置します。被害者がWin + Rで「実行」ダイアログを開き、Ctrl + Vで貼り付け、Enterキーを押すと、スクリプトがシステム上で実行されます。この手法は、ユーザーを騙して有害なコマンドを実行させることを狙うClickFix詐欺の特徴です。

ClickFix詐欺の目的

このCloudflareを題材にした亜種を含むClickFixキャンペーンは、多くの種類のマルウェアを拡散することで知られています。実行されると、悪意のあるスクリプトは、個人システムとビジネスシステムの両方に侵入する危険なソフトウェアをインストールします。例えば、以下のような脅威が展開される可能性があります。

• ファイルを暗号化して身代金を要求するランサムウェア
• システムリソースを乗っ取る暗号通貨マイナー
• リモート制御、監視、データ窃盗を目的として設計されたステルス型トロイの木馬

このような感染の結果は、回復不能なデータ損失から経済的損害や個人情報の盗難まで、深刻なものになる可能性があります。

これらの欺瞞的なページの背後にあるより広範な目的

オンライン詐欺は、マルウェアの配布だけでなく、機密情報の収集、金銭の窃取、偽のサポートサービスへの接続を強要するといったことも目的としています。詐欺が脅迫的な手法を用いるか、信頼できるブランドを装うか、誤解を招くような指示を用いるかに関わらず、最終的な目的は変わりません。それは、ユーザーを犠牲にして利益を得ることです。

こうした計画の背後にいる犯罪者は、常にその手法を改良しているので、こうした罠を早期に認識することが不可欠です。

感染が疑われる場合の対処法

この詐欺から悪意のあるコマンドを実行した疑いがある場合は、信頼できるセキュリティソフトウェアを使用して直ちにシステム全体のスキャンを実行してください。検出された脅威はできるだけ早く隔離・削除し、被害を最小限に抑えてください。

こうした詐欺が被害者に届くまで

詐欺師は通常、ユーザーを危険なウェブサイトに誘導するために、様々な拡散戦術を駆使します。偽のCloudflare認証ページも例外ではありません。

一般的な配送方法は次のとおりです:

• 不正な広告ネットワークとリダイレクト
• マルバタイジング、侵入型広告、誤解を招くポップアップ
• スパムメッセージ（メール、ソーシャルメディアの投稿、DM/PM、SMSメッセージ、コールドコール、ロボコールなど）
• 誤入力されたウェブアドレスを悪用するタイポスクワッティングURL
• 欺瞞的な広告やリダイレクトを生成するアドウェア感染

これらの手法により、攻撃者は最小限の労力で多数の潜在的な被害者にリーチすることができます。

閲覧中は注意を怠らない

Cloudflareの「サイト接続の安全性を確認」ポップアップ詐欺は、いかにして説得力のある見せかけの中に危険な意図が隠蔽されるかを示しています。オンラインの脅威は、信頼できるブランドや使い慣れたプロセスを模倣することが多いため、予期せぬプロンプト、見慣れないコマンド、または通常とは異なる認証手順に遭遇した場合は、常に注意を払う必要があります。常に警戒を怠らないことが、巧妙なオンライン詐欺に対する最も確実な防御策の一つです。