【解説】
CAPTCHA認証は“終わった”技術なのか――有効性を疑問視する専門家たち

スパム・メールだけではない、CAPTCHAクラッキングの弊害

（2008年08月11日）

投稿される90％がスパムという惨状も……

　こうした事態に頭を痛めているのは、何もWebメール・サービスばかりではない。

　詐欺商法や詐欺行為を助長するようなWebサイトの特定を行っているSiteTruthの運営者であるジョン・ネイグル（John Nagle）氏は、「SiteTruthの運営者ジョン・ネイグル（John Nagle）氏は、「地域密着型のコミュニティ・サイトCraigslistへのスパムは、今年に入ってから急増し、猛威を振るうようになった。以前はそれほどひどくなかった」と指摘している。

　Craigslistでは、1つのIPアドレスから何度も送信されてくる投稿に目を光らせている。ユーザーには正規のメール・アドレスを登録するよう要請し、自動投稿ツールを阻止するためにCAPTCHAを導入した。また、ユーザー自身がスパムと思われる投稿にフラグを付与することもできる。しかし、これらの対策を回避し、マルチ投稿を可能にする有料のツールが出回っているという。

　「『CL Auto Posting Tool』などがその一例だ。同ツールはCraigslistへの投稿を自動化するだけでなく、サイトの反スパム・メカニズムをことごとく打破する仕組みを備えている」（Nagle氏）

　同氏によると、CL Auto Posting Tool以外にも、「AdBomber」「Ad Master」「ItsYourPost」など、CAPTCHAをかいくぐるためのツールが販売されているという。「現在、Craigslistの防衛システムはことごとく破られている。あるカテゴリでは投稿の90％以上がスパムというありさまだ。最初に標的となったのが個人向けスペースで、次にサービス・カテゴリ、最近では就職情報コーナーが標的になっている」（Nagle氏）

　もちろんCraigslistもやられっぱなしではない。同サイトの運営組織は一部の広告掲載について、直接電話で掲載依頼者に確認するようにした。だがスパム業者らも、同サイトの電話確認をかいくぐる方法を模索しているようで、「電話確認も100％の対抗策ではない」（Nagle氏）という。

　こうした経緯から、スパム業者との攻防にかかるコストは膨れ上がり、無料サービスを貫いてきたCraigslistも苦境に立たされている。同サイトが有料の料金直接徴収モデルを採用するのは、もはや時間の問題だろう。

SNSはスパム業者にとっての絶好の草刈り場

　Craigslistの事例からもわかるとおり、CAPTCHAが破られることで起こる問題は、スパムの蔓延だけにとどまらない。

　米国Websense Security Labsでセキュリティ・リサーチ・マネジャーを務めるステファン・シェネット（Stephan Chenette）氏は、SNSの利用者はCAPTCHAがクラッキングされたサイトからの攻撃を受けやすいと警告する。

　「若い世代はメールではなくSNSをコミュニケーション・ツールとして利用している。そして、SNSに個人情報を公開することに抵抗感がない。ここに目をつけた攻撃者は、みずからブログを公開したり、SNSのアカウントを取得したりして、これらを悪質なサイト（リンク）を喧伝するために利用している。こうしたコミュニティに参加している人々の信頼を逆手にとって、ボットネットなどを蔓延させようとたくらんでいるのだ」（Chenette氏）

　同氏によると、SNS内には「膨大な数の攻撃対象」が存在しているが、SNSユーザーは、「SNS内ではトラブルに遭うおそれは低い」と考えているという。「そのためSNSユーザーはスパム業者の格好の獲物になっている」（Chenette氏）

　またCAPTCHAの弱体化は、さらに新しい攻撃スタイルを生み出してしまっている。その筆頭が、突貫工事の偽ブログの横行だ。Chenette氏によれば、これらの偽ブログは正規Webサイトの内容を全部コピーし、検索エンジンの最適化や認知度のアップといった工作を施し、短期間のうちに“オーディエンス”を集め、怪しい商品を販売することが目的だという。

Topics
HotmailのCAPTCHA認証を6秒で破るボットが登場
懸念されるスパム業者の大量アカウント取得

Gregg Keizer／Computerworld米国版

　米国MicrosoftのWebメール・サービス「Windows Live Hotmail」が採用しているCAPTCHAが、新種のボットによって破られることが判明した。

　Websenseのセキュリティ研究担当バイスプレジデントであるダン・ハバード（Dan Hubbard）氏によると、このボットはLive HotmailのCAPTCHAを平均6秒以内にクラッキングできるという。

　Hubbard氏は、「従来のCAPTCHA破りは、スパム業者が雇った人間によるものか、自動化されたものかの判別が難しかったが、今回はまちがいなく自動化されたものだと言える」と分析している。

　WebsenseのCAPTCHA専門家であるサミート・プラサード（Sumeet Prasad）氏は4月10日、Live Hotmailアカウントを自動取得し、直ちにそれらのアカウントを使用してスパムをまき散らすボットの詳細な技術情報を同社のブログ上に公開した。

　Prasad氏によると、このボットの総応答時間（プログラムがCAPTCHA画像を取得し、分析して正しいコードを返すまでの時間）は、従来の同種のボットよりもかなり短いという。また、Live Hotmailアカウントを取得する試みのうち、成功したのは8～10回に1回、すなわち10～15％の成功率であったという。「ただし、この成功率は実際には意味をなさない。なぜなら、ボットはあらかじめ定められたアカウント名のリストを用いて、それらがすべて登録されるまでアカウント作成を試行し続けるからだ」とHubbard氏は指摘している。

　Websenseによると、ボットのコピーは疑いを持たないユーザーのPCに植え付けられるため、Microsoftが自動アカウント取得を検出・阻止できる可能性は相当低くなるという。

　Live Hotmailに限らず、Yahoo! MailやGmailなどの無料Webメール・サービスは、ブラックリストを用いるスパム対策ツールを使ってみずからのサービスのドメイン名をブロックできないため、スパマーにとって格好の標的となりがちだという。Hubbard氏は、「GoogleやMicrosoft、Yahoo!などのドメインがスパム・ドメイン・リストの上位に入っている場合、レピュテーション（評価）ツールを使った分析が難しくなる」と指摘している。

前のページへ < ｜1｜2｜3｜ > 次のページへ