通知許可ボタンを「私はロボットではありません」のボタンだと偽ってクリックさせ詐欺通知を配信しまくる攻撃手法が発見される

インターネットで調べ物をしていると、「私はロボットではありません」といった「自分がBOTではないことを証明するためのボタン」が表示されることがあります。これらのBOT検閲システムは「CAPTCHA」と呼ばれているのですが、「通知を許可するボタン」をCAPTCHAのボタンだと偽ってユーザーに通知を受け入れさせ、詐欺広告を配信するという攻撃手法が発見されました。この攻撃はロシアによる偽情報拡散作戦「ドッペルゲンガー」に関連していると見られています。

Inside a Dark Adtech Empire Fed by Fake CAPTCHAs – Krebs on Security
https://krebsonsecurity.com/2025/06/inside-a-dark-adtech-empire-fed-by-fake-captchas/

When Kehr meets VexTrio – Qurium Media Foundation
https://www.qurium.org/forensics/when-kehr-meets-vextrio/

ドッペルゲンガーはロシア政府が主導していたとされる工作ネットワークで、「ロシアのプロパガンダ拡散」や「ウクライナに対する国際支援の弱体化」などを目的に偽情報を拡散していたことが明らかになっています。

FBIが大統領選で偽情報キャンペーンをしていたロシアの工作ネットワーク「ドッペルゲンガー」の32のドメインを押収 - GIGAZINE

セキュリティ企業のQuriumがドッペルゲンガーに関する分析を進めた結果、ドッペルゲンガーが「ウェブサイトに人間に見せるコンテンツとは別にGoogleなどの検索エンジンに見せるコンテンツを仕込み、検索エンジンに安全なサイトだと誤認させて検索結果の上位に長期間居座る」という「クローキング」と呼ばれる手法を用いていたことが判明しました。

さらに、ドッペルゲンガーがクローキングに用いていたスイスのインターネットサービスプロパイダーで「TacoLoco.co」というアフィリエイトマーケティングサービスのドメインがホストされていたことが判明。このアフィリエイトマーケティングサービスでCAPTCHAを装った攻撃が実行されていました。

セキュリティ専門家のブライアン・クレブス氏が公開した「CAPTCHAを装った攻撃のスクリーンショット」が以下。画面下部に通知の許可を求めるポップアップが表示されており、その上に「人間であることを証明するために『許可』を押して！」と話すロボットのイラストが配置されています。

「あなたがロボットでないことを認証するために『許可』を押してください」というメッセージが表示された別バリエーションも発見されています。この誘導に従って「許可」をタップすると通知が有効化され、「偽のウイルス感染警告」や「誤解を招くメッセージ」が通知として配信されるようになってしまいます。

クレブス氏は攻撃にあわないために「ウェブサイトの閲覧中に通知を許可することを控える」「ブラウザの通知機能を無効化する」といった対策を推奨しています。