「善意で解読に参加する人も」、RSAセキュリティ
人海戦術とツールが連携「CAPTCHA解読サービス」に警告
2009/12/17
RSAセキュリティは12月17日、オンライン詐欺の動向に関する説明会を開催した。同社マーケティング統括本部長の宮園充氏は、「荒らし」や「スパム」のコメント書き込みを防ぐために実装されている「CAPTCHA」破りを目的としたオンラインサービスが確認されたと述べ、注意を呼び掛けた。
CAPTCHAとはCompletely Automated Public Turing test to tell Computers and Humans Apartの略だ。SNSで新規アカウントを取得したり、ブログにコメントを書き込んだりする際にゆがめた画像を表示し、そこに記されている文字や数字を入力させることで、不正な投稿を行うロボットを排除することを目的にしている。
宮薗氏は、CAPTCHAは一定の成果を上げてきたが、それゆえに犯罪者も対策を講じてきたことを指摘した。同社の調査によると、人海戦術でCAPTCHAを解読し、その結果をAPIを介してオンライン詐欺師の不正なツールと連携させるサービスが確認されたという。
こうした「解読結果販売サイト」は、1000個のCAPTCHA解読を1.75ドル〜2ドル程度で請け負っている。
まず犯罪者が、スパム送信などを目的に何らかのサービスを利用しようとしたときに、CAPTCHAが表示されたとする。このCAPTCHAは、「CAPTCHA解読ツール」を介して解読結果販売サイトに自動送信され、そこにアクセスしてくる人によって解読作業が人海戦術で行われる。得られた解読結果は再び、解読ツールに返信される仕組みだ。このサービスを、自作のオンライン犯罪用ツールに組み込むためのAPIまで提供されているほか、利用率に応じて紹介料が支払われるアフィリエイトプログラムも用意されているという。
解読作業に当たる人々は、小遣い稼ぎを目的にする人だけではない。表向き掲げた「書籍と新聞のデジタル化を支援しませんか」「目の不自由な人のためにCAPTCHAを代読してください」といった偽の目的にだまされ、犯罪に巻き込まれていることを認識しないまま解読作業に当たっている人もいるという。この結果、1件当たり30秒以内というスピードでCAPTCHAが解読されている。
こうしたCAPTCHA解読サービスによって、「迷惑行為の自動化が可能になっている」と宮薗氏。一歩進んで、CAPTCHA解読サービスと連携し、アカウントロックがかかれば自動的に解除してスパムメールを送信し続ける、「統合型スパムメール送信ソフト」も登場しているということだ。
ただ、解読サービスが生まれているからといって、CAPTCHAの意味が失われたわけではないと宮薗氏。大量の自動処理を防ぎ、詐欺やスパムに対策する上で「一定の効果はある」とした。
関連リンク
情報をお寄せください:
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
