Yahoo!の画像認証システムがついに“陥落”?
「35%の確率でCAPTCHAのクラッキングに“成功”」とセキュリティ研究者Yahoo!が採用している画像認証システム「CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart)」を実質的にクラッキングできたと、あるセキュリティ研究者が発表した。
Yahoo!のみならず、GoogleやMicrosoftといった企業にも利用されているCAPTCHAシステムは、クラッキング・ソフトウェアが人手を介さず勝手に(自立的に)Webメール・アカウントを登録したり、ブログのコメント欄にスパム・メッセージを書き込んだりすることを阻止するソリューションである。
具体的には、人間でなければ読み取ることができない複数の文字をユーザーに提示する仕組みが、同システムには用いられている。
これまでにも、主にスパム業者によってさまざまな自律的CAPTCHAクラッキング・ソフトウェアが開発されている。しかし、Yahoo!のCAPTCHAシステムは、数ある中でも最も防御力が高いと考えられてきた。
ところが先週、「John Wane」と名乗る自称ロシア人セキュリティ研究者が、Yahoo!システムで使われる画像文字を約35%の確率で割り出せるという解読ソフトウェアのコードをWeb上に公開した。
Yahoo!に対し、同氏は今回の問題を報告したが、回答はまだ得られていないという。
同氏は、スパム業者がこのソフトウェアを悪用し、スパム送信に使うためのYahoo!メール・アカウントを取得する可能性もあると警鐘を鳴らす。
「自律的CAPTCHAクラッキング・ソフトウェアは、それほど高い精度を持たせるように設計する必要はない。攻撃者が1日当たり10万回のアクセスを試みるとすれば、画像文字の正解率は15%程度で十分だ」(John Wane氏)
(Matthew Broersma/Techworld.com)
