「ストリップゲーム」の画面例(米トレンドマイクロの情報から引用)
「ストリップゲーム」の画面例(米トレンドマイクロの情報から引用)
[画像のクリックで拡大表示]

 米IBMのセキュリティ部門「インターネットセキュリティシステムズ(ISS)」の責任者の一人であるガンター・オールマン氏は2008年2月25日(米国時間)、同社の公式ブログにおいて、「画像認証(CAPTCHA:キャプチャ)」の現状を解説した。画像認証では、メールアカウントの不正取得などを防げないという。

 画像認証とは、画面に表示された文字列画像をユーザーに“解読”させる認証方法。機械的な読み取りが困難な崩れた文字列の画像を表示し、その文字列を入力させることで、作業を行っているのが人間かどうかを判断する。

 無料のメールサービスなどでは、自動化プログラムによるアカウントの不正取得を防ぐために、画像認証を導入している。「コメントスパム」対策として導入しているブログサイトもある。コメントスパムとは、自動化プログラムを使って、ブログのコメント欄に商品などの宣伝を手当たり次第に記載する手口のこと。

 攻撃者にとって、無料のメールサービスは、迷惑メールの送信にうってつけだという。有名なメールサービスは多くのユーザーに利用されており、送信者のアドレス(ドメイン名)から迷惑メールかどうかを判断できないためだ。

 そこで攻撃者は、画像認証をかいくぐって、大量のアカウントを取得しようとする。その一つが、OCR(光学文字認識)的な手法を使って、文字列画像を文字列(テキスト)に変換する方法。

 これに対抗するため、サービス提供者側では、表示する文字列画像を一層読みにくくしている。だが、これはOCR機能を備えた「アカウント取得プログラム」への対策にはなるが、年配のユーザーはもちろん、一般ユーザーにとっても非常に使いにくくなっているという。

 また、文字列画像の解読に「人間」を使う手口も多いという。例えば、画像認証を使うメールサービスが初めて現れた数週間後には、多数のインターネットユーザーを雇って、画像認証を解読する手口が出現している。

 こういった手口においてアカウント取得プログラムはまず、メールサービスの提供サイトへアクセスしてアカウントを申請し、表示された文字列画像を取得。その画像を攻撃者のコンピューターに送信して、それに対応する文字列が送られてくるのを待つ。攻撃者側では人手で画像を解読して送信。アカウント取得プログラムは送られてきた文字列を使って申請手続きを継続する。

 アダルトコンテンツをエサにする手口もある。表示された文字列画像を解読すれば、無料でアダルトコンテンツを閲覧できるとするWebサイトがあるという。

 女性が着衣を脱いでいく「ストリップゲーム」を使って、ユーザーに“協力”させる手口もある。これは、米トレンドマイクロが2007年10月に報告したもの。

 ゲームを実行すると、女性の写真と、崩れた文字が並ぶ画像が表示される(図)。その画像に対応した文字列を入力すると、女性が着衣を一枚一枚脱いでいく。ここで入力された文字列は、攻撃者のコンピューターを経由して、アカウント取得プログラムに送信されていると考えられている。

 以上のように、さまざまな解読手法が出現している現状においては、画像認証ではアカウントの不正取得を防げなくなっている。このため、画像認証以外の認証方式が必要だろうとしている。