日本企業向けにセキュリティ関連ソフトを提供する米Capy(キャピー)は2014年12月1日、Webサイトの不正ログインを抑止するための新ツール「Capyアバターキャプチャ」の提供を開始した。
アバターキャプチャを導入したWebサイトでは、ログイン認証画面でIDとパスワードの入力に加えて、アバター(キャラクター)を使ったパズルを解くことを要求される。例えば、「人に帽子をかぶせてください」といったものだ(図)。コンピュータで機械的にログインを試行する「リスト型アカウントハッキング(リスト型攻撃)」ではパズルを解くのが難しく、攻撃を抑止する効果を期待できる。
キャプチャ(CAPTCHA)はログイン時などに歪んだ文字列の解読を要求する仕組みを指す。新ツールの名称には「キャプチャのアバター版」という意味を込めている。
Capyは今後1年間で50サイトへの導入を目指す。既に通販サイトやクレジットカード会社、ポイントサービス運営企業などから引き合いがあるという。利用料金は、アバターキャプチャ表示1回当たり1円程度とする。
一般に、IDとパスワードだけによるログイン認証を採用するWebサイトでは、不正に入手したIDとパスワードの組み合わせを使ってログインを試行するリスト型攻撃に遭うリスクがある(関連記事:3週間で50万件超の不正ログイン、「リスト型攻撃」が止まらない、JALが最大75万件の顧客情報漏洩 ドコモ、佐川、ヤマト、JR東も攻撃受ける)。
Capyはこれまで、通信事業者やゲーム会社の会員サイト向けに不正ログイン対策ツール「Capyパズルキャプチャ」を提供してきた(関連記事:パズルで不正ログインを防ぐ、「リスト型攻撃」対策の新手法)。従来のパズルキャプチャでもコンピュータで機械的に解くのは極めて困難だが、今後画像解析技術の発達に伴って、サイバー攻撃者の間で解読手法の研究が進む懸念がある。
アバターキャプチャを機械的に解こうとすれば、「帽子とは何か」「かぶせるとはどういうことか」といった意味まで解析する必要があり、解読の難度は大幅に上がる。Capyはパズルキャプチャに比べて、ログイン時のセキュリティレベルを飛躍的に向上させられるとみている。