ニュース
CAPTCHA破り対策も効果なし、Hotmailで繰り返される攻撃:攻撃側は順応
Microsoftが悪用を防ごうとCAPTCHAに手を加えるたびに、スパマーはそれに対応してしまう。
MicrosoftがWebメールサービスLive Hotmailでアカウントの不正登録を防ぐために変更を施したCAPTCHAシステムが、再びスパマーに破られていると、セキュリティ企業のWebsenseが伝えた。
CAPTCHAは、相手が人間かどうかを見分けるために各種Webサイトが導入している変形文字。Websenseによれば、Microsoftはボットやコンピュータプログラムによってアカウントが自動的に登録されるのを防ぐため、2008年にCAPTCHAに変更を加えた。しかし、今回判明した攻撃でそれが徒労に終わったことが分かったという。
Microsoftが悪用を防ごうとCAPTCHAに手を加えるたびに、スパマーはそれに対応する。CAPTCHAを破ってメールアカウントを登録し、大量にスパムメールなどを送ってユーザーのマシンをマルウェアに感染させ、情報を盗み出しているという。
CAPTCHA破りの手口も高度化している。攻撃側はマルウェアに感染させた被害者のマシンからLive Hotmailサービスにアクセスし、スパマーが運営するボットサーバと暗号を使って交信しながらCAPTCHAを破ってアカウントを登録するプロセスを繰り返しているという。
CAPTCHAはさまざまなサービスで利用され、各社とも不正防止に力を入れているが、スパマー側にはそれに順応できる能力があることが実証されたとWebsenseは解説している。
関連記事
- 2009年の脅威予想、1位はウイルスのマッシュアップ
2009年のITセキュリティの脅威は、Web 2.0技術を利用した攻撃の多様化が予想されている。 - Microsoftの強化型CAPTCHAも破る新手のボット出現
Microsoftは攻撃を阻止する狙いでHotmailのCAPTCHAシステム複雑化を図ったが、その取り組みは失敗したとWebsenseは言う。 - Googleのブログを自動的に悪用、CAPTCHA破りのボットがさらに進化
BloggerのCAPTCHAを自動的に破ってアカウントを登録し、ユーザーをスパムサイトへリダイレクトするボットが出現した。 - GmailでもCAPTCHA破り? 悪用のスパムが倍増
Yahoo! Mail、Hotmailに続き、GmailもCAPTCHA破りでスパムに利用されるようになっている - 変形文字「CAPTCHA」はもう無意味?
Webサービスの認証などに利用される変形文字のCAPTCHAはユーザーの妨げになるだけで、不正アカウント取得を防ぐ役には立たなくなったのか。 - Live Mailのキャプチャを破るボットが登場、不正アカウントを大量取得
スパマーが開発したボットはWindows Live MailでCAPTCHAの変形文字を判読し、不正アカウントを大量取得できるという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.