CAPTCHAの効果を考える――正しい理解と実装を心掛けよ：会社に潜む情報セキュリティの落とし穴（2/3 ページ）

[萩原栄幸，ITmedia]

完ぺきではないCAPTCHA、費用面ではOK？

　CAPTCHAは完全な対策ではありません。実際、2007年にはYAHOO！メールやHotmailのCAPTCHAが初めて破られ、2008年2月にはGmailが破られた可能性が高いといわれています。その勢いは止まらず、つい先日には米GoogleのCAPTCHAを破ってGmailアカウントを自動登録してしまうワーム「W32.Gaptcha」が出現したとマスコミが伝えています。

　CAPTCHAは万が一破られた場合でも、ホームページの中の文章を修正するレベルの対応（画像の作成ロジックの修正や、画像自体の差し替え）ができ、比較的簡単に変更できます。その効果はスパムメールの激減といった目に見える形で現れますので、修正後すぐに効果を実感できる点がほかの認証手段に比べて優れています。

　ただし、攻撃者の対応技術も年々高度になり、いたちごっこの感が出ています。また、画像を変形し過ぎて人間が判読できない事態も現れているので注意が必要です。例えば、この原稿を執筆する際にYAHOO！メールのCAPTCHAを確認しました。

人間の目でも判読が難しい文字の例

　上記のように、実際の文字が何であるかを判断するのが難しいパターンが存在し、特にわたしのような老眼気味の人間にとってはCAPTCHAを識別するのが辛い作業になりがちです。

　CAPTCHA破りのケースを幾つか紹介しましょう。

大学での挑戦

バークリー校では2002年に解読に取り組み、Gimpyの簡易版である「EZ-Gimpy」で成功率が83％、より困難なGimpyでも30％の成功率を得た。この数字では、「破られたとは言えない」と感じる人もいますが、アカウントは大量に発行するので、例えば10万件のうち3万件についてCAPTCHA突破できれば、攻撃者はそれで十分に元が取れるのではないでしょうか。（参考：「Breaking Gimpy: Researchers crack security system designed to block Internet robots）

わずかな可能性でも

人工知能による解析やニューラルネットによるものなど、さまざまな論文も出されていて、それぞれに興味深いものです。いずれも高確率とはいえないものの、大量に自動送信するスパムメールでは、攻撃者は「それでもありがたい」と考えるでしょう。

誘惑で

現実に多いのが「エログリッド」と呼ばれる方法です。これは人海戦術を用いてCAPTCHAを破るものですが、真っ当に賃金を払っていたのでは絶対に元が取れません。そこでポルノゲームを利用し、「CAPTCHAに当たったら、その画像イメージをこの無料ゲームサイトに送ってほしい」とうたい、CAPTCHAに入力すればわいせつな画像が見られるというようにしたのです。実に見事（？）な「人力CAPTCHA破り」と言えます。CAPTCHAの目的はユーザーが人間か機械かを見極めるものなので、その突破行為に人間が介在しては意味がありません。

さらにはこの応用として、アルバイト募集のページに「これから表示されるCAPTCHAの文字を正確にタイピングしてくれれば、3ドル支払います」とうたったものも登場しました。これによって前述のGmailのCAPTCHAが破られたというのは、セキュリティ業界では有名です。（参考：「スパム業者はGmailのCAPTCHAをどうやって突破したのか？」）