「善意で解読に参加する人も」、RSAセキュリティ

人海戦術とツールが連携「CAPTCHA解読サービス」に警告

2009/12/17

 RSAセキュリティは12月17日、オンライン詐欺の動向に関する説明会を開催した。同社マーケティング統括本部長の宮園充氏は、「荒らし」や「スパム」のコメント書き込みを防ぐために実装されている「CAPTCHA」破りを目的としたオンラインサービスが確認されたと述べ、注意を呼び掛けた。

 CAPTCHAとはCompletely Automated Public Turing test to tell Computers and Humans Apartの略だ。SNSで新規アカウントを取得したり、ブログにコメントを書き込んだりする際にゆがめた画像を表示し、そこに記されている文字や数字を入力させることで、不正な投稿を行うロボットを排除することを目的にしている。

 宮薗氏は、CAPTCHAは一定の成果を上げてきたが、それゆえに犯罪者も対策を講じてきたことを指摘した。同社の調査によると、人海戦術でCAPTCHAを解読し、その結果をAPIを介してオンライン詐欺師の不正なツールと連携させるサービスが確認されたという。

 こうした「解読結果販売サイト」は、1000個のCAPTCHA解読を1.75ドル〜2ドル程度で請け負っている。

 まず犯罪者が、スパム送信などを目的に何らかのサービスを利用しようとしたときに、CAPTCHAが表示されたとする。このCAPTCHAは、「CAPTCHA解読ツール」を介して解読結果販売サイトに自動送信され、そこにアクセスしてくる人によって解読作業が人海戦術で行われる。得られた解読結果は再び、解読ツールに返信される仕組みだ。このサービスを、自作のオンライン犯罪用ツールに組み込むためのAPIまで提供されているほか、利用率に応じて紹介料が支払われるアフィリエイトプログラムも用意されているという。

 解読作業に当たる人々は、小遣い稼ぎを目的にする人だけではない。表向き掲げた「書籍と新聞のデジタル化を支援しませんか」「目の不自由な人のためにCAPTCHAを代読してください」といった偽の目的にだまされ、犯罪に巻き込まれていることを認識しないまま解読作業に当たっている人もいるという。この結果、1件当たり30秒以内というスピードでCAPTCHAが解読されている。

 こうしたCAPTCHA解読サービスによって、「迷惑行為の自動化が可能になっている」と宮薗氏。一歩進んで、CAPTCHA解読サービスと連携し、アカウントロックがかかれば自動的に解除してスパムメールを送信し続ける、「統合型スパムメール送信ソフト」も登場しているということだ。

 ただ、解読サービスが生まれているからといって、CAPTCHAの意味が失われたわけではないと宮薗氏。大量の自動処理を防ぎ、詐欺やスパムに対策する上で「一定の効果はある」とした。

関連リンク

(@IT 高橋睦美)

情報をお寄せください:



Security&Trust フォーラム 新着記事

注目のテーマ

Security & Trust 記事ランキング

本日 月間