McAfee Avert Labs Blog
Cracking CAPTCHA: Another Russian Business」より
October 10,2008 Posted by Francois Paget

 当ブログでこれまでにも何度か書いたが,CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart)は,Webサイト,フォーラム,メーリング・リスト(ML)の保護を目的として,アカウントやコンテンツの自動生成を阻止するシステムだ。筆者の同僚,Tad Heppner氏が2007年11月に投稿した記事(翻訳記事:CAPTCHA認証破りの手口)によると,たいていのCAPTCHAは,「人間なら簡単に理解できるが現在のコンピュータによるOCRツールや画像認識システムだと極めて識別の難しい」状態に歪ませた文字や文章,画像を生成し,認証を行う。

 一方,スパム・メール送信者(スパマー)は相変わらずCAPTCHAの解読を試みている。我々は,スパマー向けCAPTCHA解読ツールの最新版「XRumer 5」をWeb上で見付けた。XRumer 5の価格は520ドルで,最先端のCAPTCHA解読技術を備えているという。

 スパマーはこれまで長い間,偽の電子メール・アカウントを作成してスパムを送付するという目的から,CAPTCHA認証の突破を模索してきた。今回の新たな不正ツールについて説明する前に,スパマーがCAPTCHA解読で用いてきた手口を振り返ってみよう。

 以下の画像で示した通り(出典:フランスのエックスエムシーオーの発表資料(PDF形式/フランス語)),一般的なCAPTCHAはたいていが解読可能だ。

 第一の方法は手作業による解読だ。発展途上国の人々がこのような解読サービスを提供しているが,その競争は激しい。この種のサービスに関与しているフォーラムをのぞくと,ベトナムやバングラデシュからのサービス案内が大量にあり,24時間体制の人海戦術で数十万個のCAPTCHAを解読するとしている。価格は1000個のCAPTCHA解読につき1~8ドルだ。

人海戦術によるCAPTCHA解読サービスをうたったメール

 さらに安く済ませる方法として,個人に無償で作業してもらうやり方がある。CAPTCHAの解読作業の代わりに画面上の女性「Melissa(メリッサ)」が服を脱ぐという,この一風変わったサービスについて,記憶に残っている読者もいるはずだ。スパマーはこのやり方で,米ヤフーのメール・アカウントの偽造に成功した。

 CAPTCHAの解読について,無料のWebサービスを見つけ出すこともできる。Webサイト「CAPTCHA Killer」はこのような無償サービスを提供し,同サイトの作成者は「米国にいる視覚障害者100万人のため」に「インターネットのアクセシビリティを高めることだけが目的」と主張する。ただ,同サービスはCAPTCHA解読の自動処理用APIを提供しているものの,サイトのリファレンスには「ソーシャル・ネットワーキング・ サービス(SNS)『MySpace.com』でCAPTCHA Killerを使用することは,MySpace.comの利用規程に違反する」と掲載されている。

 非常に高度な技術的アプローチでは,CAPTCHAの画像と文字列を関連付けたレインボー・テーブルを使用する(関連記事:ITPro:パスワード・クラック)。2008年3月,Malucというニックネームを持つ人物が,ヤフーや米グーグル,米マイクロソフトの電子メール・サービス「Hotmail」などにアクセスしてCAPTCHA画像をダウンロード/抽出/保存するPHPスクリプトを作成した。同スクリプトが無事に処理を終えると,スパマーは集めた画像を利用して新しい認識テーブルを作成したり,OCRアルゴリズムの精度を検証したりできる。うまくいけば,新たなCAPTCHA画像をデータベースで照合するのにわずか1000分の1秒しかかからない。このアルゴリズムは,CAPTCHAのノイズを取り除き,白黒画像化し,セグメント(文字単位)に分割してから文字を識別する。価格は1500~5000ドルだ。

 中国安徽省のプログラマWangrun氏は,CAPTCHAシステムを解読するソフトウエア(デコーダ)を開発したと述べている。このデコーダの価格はCAPTCHA画像の煩雑さに応じて変わり,500~6000ドルとなる。解読が極めて困難な画像については価格を提示していないが,同氏は「解読は実現可能」とコメントしている。Wangrun氏は購入者がデコーダを使う目的について触れようとしかなったが,用途は「多岐にわたる」と語った。

 スパマーはさらに,ゾンビ・マシンを使ってCAPTCHAを解読している。アンチウイルス(AV)専門のWebサイト「Virus Bulletin(VB)」の記事を読んだところ,最近では,感染したコンピュータで構成される大規模なボットネットが,マイクロソフトのWebメール・サービス「Windows Live Mail」のアカウント登録に悪用されているという(関連記事:「Windows Live Mail」アカウント取得時のCAPTCHAを大量処理)。このボットは(米マカフィーの「VirusScan」は「Generix.dx」として検出する),アカウント登録時にCAPTCHAを受信したら直ちに画像を中央サーバーに送り,同サーバーが同画像を解読して結果を返信する。VBの記事によると,解読が成功する確率は35%前後に過ぎないが,新たな考えが浮かぶ。大量に存在する感染システムが解読処理を繰り返し実行しているので,膨大な量のスパム用アカウントが作成されたはずだ。

 CAPTCHA解読手段として最後に挙げるのは,ターンキー方式のツールだ。前述のXRumer 5は,まさにこれにあたる。メッセージを溢れさせ,フォーラム,ゲストブック,ブログ,オープンソースのコンテンツ管理システム「Wiki」などへのリンクを張ることができる。オンライン入力フォームの必須フィールドを自動検出して文字を挿入するうえ,Webブラウザが不要だ。フォーラムで登録手続きが必要とあらば,プログラムが登録手続きとログインを済ませ,スパム用のテキストを投稿する。XRumerは,JavaScript,ピクトコード(ボックスに表示された数字を入力するもの),電子メールのアクティベーションによる保護を突破する。CAPTCHAを検出した場合,プログラムが自動的にダウンロードして分析を行い,フォームに入力する。

 作者によると,XRumer 5はVBulletin,IPB,phpBBといった主要エンジンの最新版で機能する。グーグルのWebメール「Gmail」のアカウントも作成できる。利用者の間でも好評のようだ。先週あるフォーラムに寄せられたコメントには「これがたったの500ドル?非常にお買い得だ。自分だったら2000ドルは下らない値段を付ける。GmailのCAPTCHA解読は秀逸だ。これだけで,自分はOCR開発者に4000ドルを支払った」とある。

 XRumerはさらに,以下の画像のような「複数の画像から猫を選び出すCAPTCHA」も解読できる。

 2008年10月3日,XRumerの作者は「たくさんのフォーラムを分析し,このようなCAPTCHAの大半が同じ画像を利用していることを突き止めた」と説明した。このため,XRumerでは画像のサイズ(バイト数)でこれらを識別する。同作者は以下のような結論を述べている。「非常に簡単だと思わないかい?え?『画像を歪ませることもできるのか』って?アルゴリズムを改良する時間はある。我々はフォーラム,ブログ,ゲストブックを未来永劫にわたり分析するが,一つ重要な事実がある。この種のCAPTCHAが使用されている例は,全体の0.01%(1万サイト中1サイト)に満たないということだ」。

 ここで改めて気付かされるのが,マルウエア開発がビジネスであるということだ。筆者の調査の結果,再び辿り着いたのがロシアだった。ロシアでは,犯罪集団が悪意のあるソフトウエアの開発/運用,さらには身元情報の窃盗や仮想世界での売春行為に関与している。XRumerの背後にいる会社または個人は,2007年に「CyberLover.ru」の名称でアダルト会話サービスを提供していたところと同じようだ。今日,筆者がリクエストを受け取った人物の名前は「Alexander Ryabchenko」という。2007年,メディアがRyabchenko氏を取り上げたところ,Ryabchenkoは英ロイターに電子メールを送付し,CyberLoverのコンセプトに関して身元情報窃盗の告発は受けておらず,「CyberLoverが検出している情報は,あくまでユーザーが提供しているものだ」と説明した。

 誰かがRyabchenko氏に「XRumerをなぜ商用化したのか」と尋ねたら,きっとCAPTCHA Killerのケースと同じような答えが返ってくるだろう。「100万人の視覚障害者を救うため」と。


Copyrights (C) 2008 McAfee, Inc. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,マカフィーの許可を得て,米国のセキュリティ・ラボであるMcAfee Avert Labsの研究員が執筆するブログMcAfee Avert Labs Blogの記事を抜粋して日本語化したものです。オリジナルの記事は,「Cracking CAPTCHA: Another Russian Business」でお読みいただけます。