「画像認証」破りの求人広告(米セックセオリーの情報から引用)
「画像認証」破りの求人広告(米セックセオリーの情報から引用)
[画像のクリックで拡大表示]

 セキュリティ会社の米セックセオリーは2008年3月11日、「画像認証(CAPTCHA:キャプチャ)」の文字列を読み取る仕事に関する求人広告を見つけたことを報告した。文字列を1000件読み取れば、1ドルの報酬が得られるという。雇い主の目的は、無料メールサービスのアカウントを不正に取得すること。迷惑メール(スパム)の送信などに悪用する。

 画像認証とは、画面に表示された文字列画像をユーザーに「解読」させる認証方法。機械的な読み取りが困難な崩した文字列の画像を表示し、その文字列を入力させることで、作業を行っているのが人間かどうかを判断する。画像の代わりに、プログラムが読み上げる聞き取りにくい文字列(数字)を入力させる場合もある。

 無料のメールサービスなどでは、自動化プログラムによるアカウントの不正取得を防ぐために、この画像認証を導入している。不正に取得されたアカウントは、迷惑メールの送信などに悪用されるためだ。セキュリティ企業の英メッセージラボの調査では、出回っている迷惑メールの4.2%が、GmailやYahoo!メールといった無料のWebメールサービスから送信されたものだという。

 セックセオリーのスタッフによれば、画像認証を破るために「人間」を使う手口があるという。この手口では、攻撃者の「アカウント取得プログラム」はまず、メールサービスの提供サイトへアクセスしてアカウントを申請し、表示された文字列画像を取得する。

 そして、その画像を攻撃者のコンピューターに送信して、それに対応する文字列が送られてくるのを待つ。攻撃者側では人手で画像を解読して送信。アカウント取得プログラムは送られてきた文字列を使って申請手続きを継続する。

 この「人手で画像を解読」する人材を募集しているのが、今回報告された求人広告である(図)。対象は、フィリピンのインターネットユーザー。条件は、「高速回線でインターネットに接続できるコンピューターを持っていること」「1分間に65単語(65WPM)以上をタイプできること」「1日12時間働けること」「米ペイパルのアカウントを持っていること」「こちらの指示に従えること」「信頼できること」。

 仕事の内容は「データ入力」とされているが、実際には、画像認証で表示される文字列画像を読み取って、テキストに変換すること。1000件の画像を読み取れば、1ドルが支払われるという。募集人数は100名としている。

 セックセオリーのスタッフは、2007年4月にも、「画像認証を破る仕事」について報告している。そのときの報告では、画像認証を破る組織を運営するルーマニア男性から聞いた話として、画像認証破りの相場などを伝えた。

 それによると、「一人当たり、1時間に処理できる画像認証は300件から500件」「クライアントは、1000件の解読につき9ドルから15ドルを支払う」「労働時間は1日に12時間程度」。また、その男性の概算では、「一人当たり、1日に処理できる画像認証は4800件程度。日当は50ドル程度」であるという。

 このときの報告と比較すると、今回の求人広告が提示している給料は低い。この理由として同社スタッフは、「競争相手が増えているために、画像認証破りが値崩れしていること」や、「対象としている国が異なること」を挙げている。