12月17日、RSAセキュリティは「CAPTCHA」を人海戦術で破ることで、大量の迷惑行為を行なうオンライン犯罪者が復活しつつあると発表した。途上国の人に1000件2ドルでCAPTCHAを解読させ、CAPTCHAの表示から解析、結果入力を自動的に行なうシステムが登場しているのだという。
コンピュータが苦手なCAPTCHAを
人間が破る
CAPTCHAは、「Completely Automated Public Turing tests for telling Computers and Humans Apart(コンピュータと人間を区別する完全に自動化された公開チューリングテスト)」の略。Webのサービスに登録する際に、ゆがませるなどして読み取りにくくした文字列を入力させる認証方法がCAPTCHAである。自動化されたソフトウェアによって不正に大量のサービス登録が行なわれることを防ぐことが目的で、文字をゆがませることでOCR(Optical Character Reader)による自動認識を阻止している。
RSAによれば、「CAPTCHAは、詐欺師たちにとって、スパムメールの送信や不正行為のための偽りのアカウント登録、盗んだクレジットカードの有効性確認における大きな障害となっている」という。そこで詐欺師たちが考え出したのが、CAPTCHA解析サービスだ。ここでは、CAPTCHAの解読を1件あたり0.2セント(約18銭)で請け負い、途上国の人々をだまして1件0.1銭とで解読させるのだという。
しかも最近では、解読のシステム化が進んでおり、
- CAPTCHAが表示されるような行為を犯罪者のシステムが行ない、画面にCAPTCHAが表示される
- 表示されたCAPTCHAを、CAPTCHA解読ツールがCAPTCHAの解読結果を販売するサイト(解読結果販売サイト)へ自動送信する
- 解読結果販売サイトから人海戦術でCAPTCHAを解読する会社(CAPTCHA解読会社)に、解読依頼とCAPTCHAが送られる
- 解読会社では、途上国の人をだましてCAPTCHAを解読させる
- 解読会社から解読結果が解読結果販売サイトに返される
- CAPTCHA解読ツールを介して得られた解読結果が自動入力される
という流れがシームレスに連携するようになり、CAPTCHAがあっても短時間に大量の不正行為が可能になってきているという。
拡販用インセンティブも用意する解読業者
この解読結果販売サイトの例としてRSAが挙げるのが、「Death by Captcha」だ。このDeath by Captchaでは、1000個のCAPTCHAを1.75ドルで販売している。また、別の解読結果販売サイトの「Decaptcher.com」では、1000個の解析が2ドルだが、サービスが過負荷の状態でも優先的に解読を行なうオプションサービスを提供するという。
いずれのサイトでも、自作のソフトウェアにCAPTCHA回避サービスに組み込むためのAPIが提供されており、たとえばDecaptcher.comのAPIなどは11種類のプログラム言語に対応する。
これにより、スパムの配布を考えている開発者は、自作のツールにCAPTCHA解読サービスを組み込むことで、ブログやWikiなどへのスパム投稿を自動化できるようになる。不正に入手したクレジットカードの有効期限をカード会社のサイトで確認する作業の自動化なども可能だ。また、CAPTCHA回避機能を巡回ツールに組み込むことで、いかがわしいページやサイトへのアクセス数を不正に増やすことができ、その結果高い人気度を獲得することも可能になっているという。
さらにCAPTCHAの解析結果を販売する業者は、CAPTCHA解読サービスを自らのツールに組み込むソフトウェア開発者向けのインセンティブプログラムを提供している。APIを組み込んだ自動スパム送信ツールや大量自動投稿ツールがCAPTCHA解読サービスを利用すると、案件数に応じた紹介料が開発者に支払われる仕組みだ。
(次ページ、「暗躍するCAPTCHA解読請け負い業者」に続く)