Webサイトの多くは,ユーザー・アカウント作成やコンテンツ投稿,その他Webサイトのサービスを自動処理で乱用する企てを,CAPTCHA(Completely Automated Public Turing Test To Tell Computers and Humans Apart)と呼ばれるチャレンジ・レスポンス方式の認証技術で阻止している。
 図1 CAPTCHAの例 |
一般的なCAPTCHAはたいていの場合,人間なら簡単に理解できるが,現在のコンピュータOCRや画像認識システムだと極めて識別の難しい状態に歪ませた文字やテキスト,画像を生成し,認証を行う。
考察にソーシャル・エンジニアリングを加えよう。CAPTCHAは,“チャレンジ”に対する“レスポンス”が人間によるものなのか,それともコンピュータの自動処理なのかを高い精度で判断できる。ただし,“チャレンジ”を提示された人物が“レスポンス”したかどうかは保証しない。
例を使って説明する。
(1)WebサイトAは,CAPTCHA認証で保護したサービスを提供している
(2)WebサイトBは,WebサイトAのサービスを自動的に利用しようとしているグループが開設した
(3)WebサイトBは,CAPTCHA認証をパスしたユーザーだけに無料でコンテンツを提供する
(4)WebサイトBは,解読する必要のあるCAPTCHA画像をWebサイトAから取得し,自サイトのユーザーに提示する
(5)WebサイトBのユーザーは,提示されたCAPTCHAにレスポンスする
(6)WebサイトBは,約束の無料コンテンツをユーザーに提供する。さらに,ユーザーのレスポンスをWebサイトAのCAPTCHAに使い,認証をパスする
 図2 CAPTCHA認証を破る例 |
このようにWebサイトBは,自動的にCAPTCHA認証を多くの人に割り当て,こっそりWebサイトAのチャレンジに応答させている。ある面で,分散コンピューティングのモデルと似ている。分散コンピューティングが演算処理を複数のコンピュータに任せるのに対し,WebサイトBはCAPTCHAに対するレスポンスを複数の人間に外注するのだ。
ここで紹介した手口は,スパム・メール送信者(スパマー)が1994年に,米マイクロソフトのメール・サービス「Hotmail」に導入されていたスパム防止策を破る目的で使った。このスパマーたちはポルノWebサイトを宣伝し,CAPTCHA認証をコンテンツ閲覧の条件とした。ポルノ閲覧に必要なこのCAPTCHAは,そもそもHotmailで生成されたものだ。ポルノ・サイトにアクセスしたユーザーの入力したCAPTCHAに対するレスポンスは,スパマーがHotmailのCAPTCHAを破ることに使った。その結果,Hotmailで新しいアカウントを取得してスパムを送る行為が自動化されてしまった。
最近では「Captchar」などのトロイの木馬も同様の手口を使っている。
コンピュータと人間の違いを指摘することは可能だが,人間から得たレスポンスが意図した人物によるものかどうか確認することはまだ難しい。
Copyrights (C) 2007 McAfee, Inc. All rights reserved.
本記事の内容執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,マカフィーの許可を得て,米国のセキュリティ・ラボであるMcAfee Avert Labsの研究員が執筆するブログMcAfee Avert Labs Blogの記事を抜粋して日本語化したものです。オリジナルの記事は,「The Captcha Challenge」でお読みいただけます。
