Microsoftが悪用を防ごうとCAPTCHAに手を加えるたびに、スパマーはそれに対応してしまう。
MicrosoftがWebメールサービスLive Hotmailでアカウントの不正登録を防ぐために変更を施したCAPTCHAシステムが、再びスパマーに破られていると、セキュリティ企業のWebsenseが伝えた。
CAPTCHAは、相手が人間かどうかを見分けるために各種Webサイトが導入している変形文字。Websenseによれば、Microsoftはボットやコンピュータプログラムによってアカウントが自動的に登録されるのを防ぐため、2008年にCAPTCHAに変更を加えた。しかし、今回判明した攻撃でそれが徒労に終わったことが分かったという。
Microsoftが悪用を防ごうとCAPTCHAに手を加えるたびに、スパマーはそれに対応する。CAPTCHAを破ってメールアカウントを登録し、大量にスパムメールなどを送ってユーザーのマシンをマルウェアに感染させ、情報を盗み出しているという。
CAPTCHA破りの手口も高度化している。攻撃側はマルウェアに感染させた被害者のマシンからLive Hotmailサービスにアクセスし、スパマーが運営するボットサーバと暗号を使って交信しながらCAPTCHAを破ってアカウントを登録するプロセスを繰り返しているという。
CAPTCHAはさまざまなサービスで利用され、各社とも不正防止に力を入れているが、スパマー側にはそれに順応できる能力があることが実証されたとWebsenseは解説している。
Copyright © ITmedia, Inc. All Rights Reserved.