SCAN DISPATCH :「reCAPTCHAの使用は停止すべき」専門家が指摘 | ScanNetSecurity
2024.07.26(金)

SCAN DISPATCH :「reCAPTCHAの使用は停止すべき」専門家が指摘

 SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

国際
 SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

──

 ソフトウエアによる自動的なログインを阻止する技術の一つ、reCAPTCHAを分析した専門家が、OCRとフィルターのコンビネーションを使うことによりマシン解読の高い成功率を達成している。これはロサンゼルスのセキュリティ専門家、ジョナサン・ウイルキンズが行ったもの。彼と電話インタビューがとれているので紹介する。

 ウイルキンズ氏はマイクロソフト社在籍中に、HotmailやMySpaceなどのCAPTCHA技術を研究しており、今回の発表はそれらをさらに前進したもの。現在Google社が保有するreCAPTCHA技術を、OCR(Tesseract、OCRopusなど)、スペルチェッカー(Aspellなど)を使用して読みこみ、マシン解読ができない、という本来のCAPTTHAの目的を達成するにはどのような技術を使えばよいか、そのガイドラインを提示している。同時に、自らが達成したマシン解読の成功率を前提に、「reCAPTCHA技術がマシンによるログインを阻止するには十分と言えない」と結論づけている。

 まず、CAPTCHA技術には不適当な技術として、ウイルキンズ氏は以下のものをあげている。

(1) 文字の背景のノイズが、文字とはまったくかけ離れたもの。これは、背景のパターンを指摘することによって簡単に除去できる。

(2) ノイズとなる線が、文字の線よりも細く、文字の線との分別が簡単なもの。これは、線の太さを指定して除去できる。

(3) 文字の背景が色と、文字の色の違いだけに頼ったもの。これは、一定の部分の上下が黒か白かを指定することによって除去できる。

(4) 文字列全部に、一律な簡単な歪みをかけたもの。これは、その歪みを逆さにかけることで文字列を元に戻せる。

(5) 文字と文字の間に間隔があるもの。これは、文字を枠に収めることにより文字を指定して解読が簡単になる。

(6) 辞書に掲載されている言葉を使ったもの。これは、スペルチェッカーや辞書ソフトウエアを使えば簡単に推測できるため。

(7) 音声による補助がある場合は、音声認識ソフトウエアによる解読がより簡単になる。

 以上の「使うべきでない」技術を前提に、彼が推薦する技術は以下の通りだ。

(1) 一つ一つの文字に違った歪みをかけ、また、一つ一つの文字を違った方向に回転させる。

(2) 数字よりもアルファベットがよい。

(3) フォントは、サンセリフがよい。セリフの場合はC、Q、Jなどに特徴のある部分があるため、それをベースにして解読ができるため。

 こうしたガイドランに基づいてreCAPTCHAを解析したところ、多くの弱点が見つかっている。

 reCAPTCHAは、CAPTCHAのワードに、古い本や新聞の記事でOCRでは読めないためにデジタイズができないワードをペアにしたもので、ユーザがそれを解読すると同時に、書籍のデジタイズにも協力できる仕組みとなっている。書籍からとった文字をユーザは正確に解読する必要はなく、CAPTCHA部分の文字が解読できればエラーとしていない。また、(1) 一文字だけの間違いならば、エラーとしない。(2) 一文字だけなら省略しても、エラーとしない。と、エラー率が高くてもOKが出るだる。その上、(3) ノイズであるラインは水平なものだけ。(4) 辞書に掲載されているワードが使用されている。など、マシン解読が簡単になる技術だ。

 そのため、200のサンプルのうち10件は、スクリプトで両方のワードを解読できる5%の成功率を達成している。また、同じ200のサンプルで、さらなる25件についてはどちらかのワードがマシン解読できている。つまり、実際の成功率はこれよりも高いことになる。

 「1万台のボットネットを使用できる立場にある人が、それぞれのマシンで10スレッドを作動させ、たとえば0.01%の成功率だとして計算してみても、一日に86万4千件のスクリプトによるログインが行える」(ウイルキンズ氏)ことになるわけで、この少なくても5%の成功率は無視できる数字でないのが分かるだろう。

 Google社は、去年の終わりにウイルキンズ氏の論文を受けて…

【執筆:米国 笠原利香】
《ScanNetSecurity》

特集

国際 アクセスランキング

  1. レッドチーム演習大成功 丸五か月間誰も気づけず

    レッドチーム演習大成功 丸五か月間誰も気づけず

  2. ランサムウェア集団が謝罪

    ランサムウェア集団が謝罪

  3. 国際手配のランサム犯 逮捕されずに世界中を旅行

    国際手配のランサム犯 逮捕されずに世界中を旅行

  4. [まさか本気でそんなに儲かると思った?]サイバー犯罪者さん 職種別給与一覧 ~ 求人広告22万件調査

  5. 支払額倍増の場合も ~ オラクルが Fortune 200 へ Java ライセンスに関する監査書送付を開始

  6. 【デジタル時代の著作権(2)〜スターデジオ判決2〜】(弁護士 中野和子)

  7. ? ランサムウェアの犯人「新型コロナ危機の間は医療機関を標的にしないことを俺たちは誓う」(The Register)

  8. ランサムウェア感染を隠蔽したソフトウェア企業の末路

  9. Microsoft Accessファイルで拡散するNitroマクロウイルス

  10. カードをクローン化する詐欺師たち、よりよいスキミング装置を作るために 3D プリンタを使う~地球の反対側の警察「豪州の ATM は正確に仕立てられた装置に対して脆弱」(The Register)

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×