HotmailのCAPTCHA認証を6秒で破るボットが登場
懸念されるスパム業者の大量アカウント取得――米国ウェブセンスが報告米国MicrosoftのWebメール・サービス「Windows Live Hotmail」が採用している画像認証システム「CAPTCHA(Completely Automated Public Turing Test to Tell Computers and Humans Apart)」が、新種のボットによって破られることが判明した。米国Websenseのセキュリティ研究者が4月11日に明らかにしたもの。
Websenseのセキュリティ研究担当バイスプレジデントであるダン・ハバード(Dan Hubbard)氏によると、このボットはLive HotmailのCAPTCHA認証を平均6秒以内にクラッキングできるという。
CAPTCHAとは、Webサイト上で新規アカウントを作成する際、ユーザーに歪んだスクランブル文字の解読とタイプ入力を求めることで、スパマーやマルウェア作者による自動アカウント登録を防ぐ認証システム。
Hubbard氏は、「従来のCAPTCHA破りは、スパム業者が雇った人間によるものか、自動化されたものかの判別が難しかったが、今回はまちがいなく自動化されたものだと言える」と分析している。
WebsenseのCAPTCHA専門家であるサミート・プラサード(Sumeet Prasad)氏は4月10日、Live Hotmailアカウントを自動取得し、直ちにそれらのアカウントを使用してスパムをまき散らすボットの詳細な技術情報を同社のブログ上に公開した。
Prasad氏によると、このボットの総応答時間(プログラムがCAPTCHA画像を取得し、分析して正しいコードを返すまでの時間)は、従来の同種のボットよりもかなり短いという。また、Live Hotmailアカウントを取得する試みのうち、成功したのは8〜10回に1回、すなわち10〜15%の成功率であったという。「ただし、この成功率は実際には意味をなさない。なぜなら、ボットはあらかじめ定められたアカウント名のリストを用いて、それらがすべて登録されるまでアカウント作成を試行し続けるからだ」とHubbard氏は指摘している。
Websenseによると、ボットのコピーは疑いを持たないユーザーのPCに植え付けられるため、Microsoftが自動アカウント取得を検出・阻止できる可能性は相当低くなるという。
Live Hotmailに限らず、Yahoo MailやGmailなどの無料Webメール・サービスは、ブラックリストを用いるスパム対策ツールを使ってみずからのサービスのドメイン名をブロックできないため、スパマーにとって格好の標的となりがちだという。Hubbard氏は、「GoogleやMicrosoft、Yahooなどのドメインがスパム・ドメイン・リストの上位に入っている場合、レピュテーション(評価)ツールを使った分析が難しくなる」と指摘している。
(Gregg Keizer/Computerworld米国版)
