米トレンドマイクロは2007年10月27日(米国時間)、米Yahoo!のユーザーアカウントを不正に取得する悪質なプログラム(ウイルス)を確認したとして注意を呼びかけた。このプログラムを実行すると、ユーザーアカウントの不正取得を手助けすることになる。
今回確認されたプログラムは、女性が着衣を脱いでいく「ストリップゲーム(a strip-tease game)」に見せかけている。実行すると、女性の写真と、崩れた文字が並ぶ画像を表示(図)。その画像を見て文字列を正しく入力すると、女性が着衣を一枚脱ぐ。
このプログラムを作った人物の目的は、画面に表示された文字列画像をユーザーに解読させること。無料のメールサービスなどでは、自動化プログラムなどによってユーザーアカウントを不正に取得されることを防ぐために、画像認証(CAPTCHA:キャプチャ)を導入している。アカウントの登録画面において、機械的に読み取ることを難しくした崩れた文字列の画像を表示し、その文字列を正しく入力できた場合に、(生身の人間が登録手続きをしていると判断して)アカウントを発行する仕組みである。
今回の悪意のあるプログラムは、米Yahoo!のユーザーアカウントを不正に取得しようとする。プログラム作者のコンピューターは、Yahoo!のユーザー登録画面にアクセスし、画像認証用の文字列画像を取得。その画像を「ストリップゲーム」に送信し、ゲームのユーザーに解読させる。そして、ユーザーが入力した文字列をYahoo!のユーザー登録画面に送信し、アカウントを発行してもらう。
文字列画像を機械的に読み取る方法としては、OCR的な手法を使って文字列画像を文字列に変換する方法が一般的。今回のように、ユーザーをだまして解読させる手法は新しいという。
