イスラエル国家デジタル庁によりShadowCaptchaと名付けられた大規模サイバー犯罪キャンペーンが2025年8月に検出された。この攻撃は100以上の侵害されたWordPressサイトを悪用し、サイト訪問者を偽のCloudflareまたはGoogle CAPTCHAページに誘導している。
研究者のShimi Cohen、Adi Pick、Idan Beit Yosef、Hila David、Yaniv Goldmanが分析を行った。攻撃はClickFixソーシャルエンジニアリング戦術を使用し、WindowsのRun ダイアログまたはHTAファイルの保存と実行を通じて、LummaおよびRhadamanthys情報窃取型マルウェア、Epsilon Redランサムウェア、XMRigベースの仮想通貨マイナーを配布する。一部のキャンペーンではWinRing0x64.sysドライバーも使用される。
感染サイトの大部分はオーストラリア、ブラジル、イタリア、カナダ、コロンビア、イスラエルに位置し、テクノロジー、ホスピタリティ、法律/金融、ヘルスケア、不動産分野にまたがる。同時にGoDaddyは2017年から活動するHelp TDSの進化について報告し、woocommerce_inputsという悪意のあるWordPressプラグインが2024年後半から2025年8月にかけて開発され、世界中の10,000以上のサイトにインストールされていることを明らかにした。
From: 
ShadowCaptcha Exploits WordPress Sites to Spread Ransomware, Info Stealers, and Crypto Miners
【編集部解説】
今回のShadowCaptchaキャンペーンは、従来のマルウェア攻撃が、いかに巧妙になったかを示す典型例です。
まず注目すべきは、この攻撃が「ClickFix」という心理的操作手法を採用している点です。ユーザーが偽のCAPTCHA画面で「何かがうまくいかない」と感じた時に、画面上の指示に従ってしまう心理を狡猾に利用しています。特に、クリップボードに自動的にコマンドをコピーする機能は、ユーザーが無意識のうちに悪意あるコードを実行してしまう可能性を大幅に高めています。
技術的な観点から見ると、この攻撃は複数の脅威を同時に展開する「マルチペイロード」戦略を採用している点が極めて巧妙です。情報窃取、ランサムウェア、仮想通貨マイニングという3つの収益化手段を組み合わせることで、攻撃者は単一の侵入から最大限の利益を得る構造を構築しています。
さらに深刻なのは、攻撃者が「WinRing0x64.sys」という脆弱なドライバーを意図的に配布している点です。これによりカーネルレベルのアクセスを獲得し、システムの最深部まで侵入することが可能になります。
一方で、GoDaddyが同時に発表したHelp TDSの調査結果は、この問題の構造的な深刻さを浮き彫りにしています。2017年から約8年間にわたって活動し続けているこのシステムは、悪意あるWordPressプラグイン「woocommerce_inputs」を通じて世界中の10,000以上のサイトに影響を与えています。
このプラグインが特に危険なのは、WordPressの管理画面から自身を隠蔽し、さらには認証情報を定期的に外部サーバーに送信する機能を持つ点です。これにより、一度侵害されたサイトは継続的に攻撃者の管理下に置かれ、新たな攻撃の踏み台として利用され続けます。
地理的な分布を見ると、感染サイトがオーストラリア、ブラジル、イタリア、カナダ、コロンビア、イスラエルといった多様な国々に分散していることも注目に値します。これは攻撃者が地域を問わずWordPressサイトの脆弱性を狙っていることを示しており、日本のサイトも例外ではありません。
規制面では、このような攻撃の多層化により、従来のアンチウイルスソフトウェアやファイアウォールだけでは対応が困難になっています。特に正規のシステムツールを悪用する「Living off the Land」攻撃手法は、セキュリティ業界全体でのアプローチの見直しを迫っています。
長期的な視点では、このような攻撃の巧妙化は、Webサイト運営者にとって多要素認証やゼロトラスト・セキュリティモデルの導入を不可避にしています。また、ユーザー教育の重要性も飛躍的に高まっており、技術的対策と人的対策の両輪が必要な時代に突入したと言えるでしょう。
【用語解説】
ShadowCaptcha
イスラエル国家デジタル庁が命名した大規模サイバー犯罪キャンペーン。100以上のWordPressサイトを悪用して偽のCAPTCHA認証ページに誘導し、マルウェアを配布する攻撃手法。
ClickFix
ユーザーが偽のエラーメッセージや指示に従って悪意あるファイルを実行してしまうソーシャルエンジニアリング手法。画面上の「修正」指示に従うよう心理的に操作する。
LOLBins(Living-off-the-Land Binaries)
攻撃者が正規のシステムツールを悪用してマルウェア活動を行う手法。msiexec.exeやmshta.exeなど、既存のWindowsツールを使用することで検出を回避する。
HTAファイル(HTML Application)
HTMLとスクリプトを組み合わせたWindowsアプリケーション形式。mshta.exeで実行され、ブラウザの制限を回避して悪意あるコードを実行できる。
XMRig
Monero仮想通貨のマイニングソフトウェア。攻撃者がコンピュータリソースを悪用して不正に仮想通貨を採掘するために使用される。
Lumma Stealer
認証情報やブラウザデータを窃取する情報窃取型マルウェア。パスワードやクッキー、暗号通貨ウォレット情報などを盗み出す。
Rhadamanthys
高度な情報窃取機能を持つマルウェア。多様なブラウザやアプリケーションから機密情報を収集する。
Epsilon Red
ランサムウェアの一種。ファイルを暗号化して身代金を要求する悪意あるソフトウェア。
Help TDS
2017年から活動するトラフィック配信システム。侵害されたWebサイトの訪問者を詐欺サイトに誘導する。
【参考リンク】
CloudSEK(外部)
サイバーセキュリティ脅威インテリジェンス企業。Epsilon Redランサムウェアの配布にClickFixルアーが使用されていることを先月文書化
GoDaddy セキュリティチーム(外部)
大手ホスティング企業のセキュリティ部門。Help TDSと悪意あるWordPressプラグインwoocommerce_inputsについて詳細な分析を実施
WordPress.org(外部)
世界で最も使用されているCMS。今回の攻撃で標的となったプラットフォームの公式サイト
【参考記事】
Help TDS and its Malicious Plugins Redirect Thousands of Sites to Tech Support Scams(外部)
GoDaddyによる詳細分析。2017年から活動するHelp TDSの進化と世界中の10,000以上のサイトに影響を与える悪意あるWordPressプラグインwoocommerce_inputsの技術的解析結果
WIU Cybersecurity Center – Cybersecurity News(外部)
Western Illinois大学サイバーセキュリティセンターによるShadowCaptchaキャンペーンの技術的分析。攻撃手法の詳細とアンチデバッガー技術の使用について解説
WordPress ClickFix Malware Causes Google Warnings and Infected Computers(外部)
Sucuriによる2025年2月のClickFix攻撃に関する詳細分析。WordPress サイトでのClickFix手法の使用とその影響について技術的に解説
【編集部後記】
今回のShadowCaptchaの事案を受けて、皆さんのWordPressサイトは大丈夫でしょうか?特に気になるのは、私たちが日常的に見慣れたCAPTCHA画面すら、今や攻撃の入り口として悪用されているという現実です。
もしかすると、皆さんの中にも「あの時の変なCAPTCHA画面、何かおかしかったな」という経験をお持ちの方がいらっしゃるかもしれません。また、WordPressサイトを運営されている方は、最後にプラグインの更新チェックをしたのはいつでしょうか?
このような巧妙化された攻撃を前に、私たち個人や小規模事業者はどのような備えができるのか、ぜひ一緒に考えていけたらと思います。皆さんの体験談や対策のアイデアがあれば、ぜひお聞かせください。
