写真1●東日本旅客鉄道(JR東日本)の会員サイト「Suicaポイントクラブ」はたびたび不正アクセス攻撃に遭っている
[画像のクリックで拡大表示]
「リスト型アカウントハッキング(リスト型攻撃)」が依然として猛威を振るっている(関連記事:3週間で50万件超の不正ログイン、「リスト型攻撃」が止まらない)。大手ネットサービスのほか、東日本旅客鉄道(JR東日本)(写真1)、パナソニックなどの会員サイトも被害を受けた。
攻撃者は何らかの手段で「IDとパスワードのリスト」を入手し、これを使って、コンピュータプログラム(ボット)で自動的にログイン試行を繰り返す。Webサイト運営者側にとっては正規のログインと区別がつきにくい。頻繁なログイン試行を制限するなど、影響を緩和する方法はあるが、あまり厳しく制限すると正規のユーザーまでログインしにくい状況になる。抜本的な対策は難しい。
ボットによるログイン試行を抑止
写真2●パズルキャプチャの操作イメージ。画面スワイプかマウスドラッグで簡単なパズルを解く
[画像のクリックで拡大表示]
リスト型攻撃を抑止する手法として最近注目されているのがパズルだ(関連記事:最新のCAPTCHAはパズルゲーム風)。ログイン画面でパズルを解かせることで、人間による正規のログインか、コンピュータによる不正ログインかを判別する。
ベンチャー企業の米Capy(キャピー)が提供する「パズルキャプチャ」もその一種である(写真2、関連記事:IVSの新サービスコンテスト、優勝はテキストCAPTCHAに代わる不正入力対策サービス)。Capyの本社所在地は米国だが、主要な事務所は東京都渋谷区にある。
パズルキャプチャを使ったログイン画面では、一部が欠けた画像とピースが表示される。IDとパスワードの入力に加えて、ピースをマウスでドラッグするか、タッチ画面でスワイプするかして、パズルを解かないとログインできない仕組みだ。通信事業者やゲーム会社など日本企業を中心に10社以上で導入実績がある。実際に見たことがある人も多いのではないだろうか。
