Geminiに勧められたサイトで「ロボットではない」と証明しようとしてハッキング被害に遭う
(mytory.net)- Geminiとの会話中に勧められたサイトにアクセス
- 「ロボットではない」をクリックすると、悪意あるコマンドがあらかじめクリップボードにコピーされ、その後、人間であることを検証するにはターミナルを開いて貼り付けし、Enterを押すよう案内される。
- 実行すると
curl | bash形式で追加スクリプトを取得して実行 - Mac の
LaunchAgentsに登録され、再起動後やログイン後も継続して実行 - リモートサーバーから AppleScript を受け取って実行し、情報収集および権限昇格を試行
今回のケース:
- 管理者パスワードを入力しなかったため、権限昇格は失敗
- ただし、ユーザー権限の範囲内で情報へのアクセス・収集は一部行われた可能性あり
対応:
- 直ちにネットワークを遮断
~/Library/LaunchAgentsの悪性 plist を削除- 実行中のプロセスを終了
- ブラウザのすべてのセッションをログアウトしてから再ログイン(Cookie を無効化)
- SSH キーを交換
教訓:
- Webページが「検証・認証」を理由にローカルコマンドの実行を求めてきたら疑うべき
- AI が勧めるサイトも疑うべき
- 特にターミナル/実行ダイアログ/PowerShell を開いて貼り付けさせようとするなら、ほぼこのパターン
- 管理者パスワードの入力を求められたら疑うことは、最も重要な習慣であり最後の防衛線
詳細な分析、実際のコマンド、対応の過程は原文参照
まだコメントはありません。