変形文字「CAPTCHA」はもう無意味?

Webサービスの認証などに利用される変形文字のCAPTCHAはユーザーの妨げになるだけで、不正アカウント取得を防ぐ役には立たなくなったのか。

» 2008年02月27日 09時11分 公開
[ITmedia]

 Webサービスでアカウントの不正取得を防ぐために使われている変形文字の「CAPTCHA」は、もう役に立たなくなっている――。人気WebメールのCAPTCHAを破るボットの相次ぐ登場を受け、セキュリティ研究者がこう指摘した。

 セキュリティ企業のWebsenseは先に、米Microsoftの無料Webメール「Windows Live Mail」のCAPTCHAを破るボットが出現したと報告。続いてGoogleのGmailのCAPTCHAも破られたと伝えている。

 IBM傘下のセキュリティ企業Internet Security Systems(ISS)のガンター・オルマン氏は2月25日のブログでこうした現状について紹介。CAPTCHAはかつてはいいアイデアだったが、現状ではほとんど防御の用をなさなくなったと指摘した。

 攻撃側は、人気フリーメールで新しいアカウントを作成してスパム送信に使うため、CAPTCHA破りに力を入れており、自動CAPTCHA破り機能を組み込んだ攻撃ツールがネットで提供されているという。

 こうした先端の自動OCR暗号解読ツールに対抗し、CAPTCHAも進化してきた。しかしその結果、高齢者や視覚障害者をはじめ多数のネットユーザーが使えなくなるレベルにまで達している。

 CAPTCHAをさらに強化することは可能だが、現状で既に、ついていけないユーザーはかなりの割合に上っており、これ以上アルゴリズムを強化して複雑なCAPTCHAを作る価値はないとオルマン氏は断言。脅威はCAPTCHAを超えて進化しており、CAPTCHAはもはや、金目当ての攻撃を食い止めるのに有効なツールではなくなったと結論付けている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ