CAPTCHAがとうとう終焉か? ディープラーニングを使った汎用解読ツールが開発わずか500個のサンプルで学習

英ランカスター大学と米ノースウェスト大学、北京大学の研究者からなるチームが、33種類の「CAPTCHA」認証を破るAIベースのツールを開発した。高速に解読でき、大量の学習データを必要とせず、WebマスターがCAPTCHAに手を加えてもすぐに適応できるという。

» 2018年12月18日 08時00分 公開
[@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 英ランカスター大学は2018年12月5日(英国時間)、同大学の研究者が参加する研究チームが、最も広く使われているWebサイトセキュリティシステムの1つ「CAPTCHA(キャプチャ)」を破る人工知能(AI)ベースのツールを開発したと発表した。

 CAPTCHAを破るツールはこれまでも多数発表されているものの、今回のツールは大量の学習データを必要とせず、高速で、さらに汎用だという点に新規性がある。

 研究チームが開発した新しいアルゴリズムはディープラーニングに基づいており、これまでで最も効果的なCAPTCHA解読ツールだと主張する。

 alexa.comがランク付けしたアクセス数上位50のWebサイトのうち、32のサイトがCAPTCHAを使っている。研究では、32サイトから11サイトを選び、利用されている33種類のCAPTCHAを対象とした。WikipediaやMicrosoft、eBay、Baidu、Googleなどが対象となり、これら全てのCAPTCHAを解読できたという。

 テキストベースのCAPTCHAでは、形をゆがめて読みにくくした文字や数字を、ある程度覆い隠すように描かれた直線や曲線などとともに提示することで、ユーザーと悪意ある自動コンピュータプログラムを区別する。人間の方が機械よりも簡単に、そうした文字や数字を判読できることを前提とした手法だ。

 ランカスター大学と米ノースウェスト大学、北京大学のコンピュータサイエンティストが共同で開発したCAPTCHA解読ツールは、従来のCAPTCHA攻撃システムよりも大幅に解読精度が高く、従来の攻撃システムが通用しなかったバージョンのCAPTCHAを破ることができる。

 効率も高く、検証の結果、GPUを搭載したデスクトップPC上で実行した場合、0.05秒以内にCAPTCHAを解読できた。

もはや数百万のサンプルを集める必要がない

 研究チームは、モントリオール大学のIan J. Goodfellow氏らの研究チームが2014年に開発したGAN(Generative Adversarial Network:敵対的生成ネットワーク)と呼ばれるディープラーニング手法を用いて解読ツールを開発した。GANは教師なし学習向けのアルゴリズムであり、画像などを生成するネットワークと、それを認識するネットワークの2つの部分から成り立っている。

 この手法の優位点は、実サイトのCAPTCHAを大量に集める代わりに、自動CAPTCHA生成プログラムを使って、本物のCAPTCHAと見分けがつかないトレーニング用CAPTCHAを大量に作成できることだ。このデータを使って解読ツールを迅速にトレーニングすることで解読ツールを素早く強化、検証できた。

 研究者や攻撃者は、従来のように対象サイトのCAPTCHAを集めて手動で正しいつづりなどのタグを付け、解読ツールをトレーニングするために多大な労力やコストを払う必要がなくなる。これまでの一般的な手法では、攻撃プログラムを効果的にトレーニングするために必要な本物のCAPTCHAサンプルを数百万個も集める必要があったが、研究チームの手法では500個で済む。

 さらに、従来の機械学習によるCAPTCHA解読ツールでは、ある特定のバリエーションのCAPTCHAに対してのみ有効だった。つまり、Webサイト側でCAPTCHAのセキュリティ機能を少し変更しただけで、役に立たなくなってしまう。これに対して、今回の解読ツールは、トレーニングの際、人がほとんど介在しないため、新しい、あるいは変更されたCAPTCHAスキーム向けに簡単に再構築できる。

 ランカスター大学科学技術学部で上級講師を務めるZheng Wang氏は、次のように述べている。

 「GANベースのアプローチを使って解読ツールを開発したのは、われわれのプロジェクトが初めてだ。われわれの取り組みは、現在のテキストベースのCAPTCHAスキームが、ディープラーニングを用いた手法に対して特に脆弱(ぜいじゃく)なことを示している」

 研究チームは今後の対策として次のようなコメントを残している。

 「ユーザーの使用パターンや、デバイスの位置、生体情報などを利用した多層的セキュリティ対策を取り入れ、CAPTCHAに代わる認証システムをWebサイトに検討すべきだ」

 研究チームは新しいCAPTCHA解読ツールについてまとめた論文「Yet Another Text Captcha Solver: A Generative Adversarial Network Based Approach」を、2018年10月にカナダのトロントで開催されたACM Conference on Computer and Communications Security(CCS)2018で発表済みだ。

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

4AI by @IT - AIを作り、動かし、守り、生かす
Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。