メールアドレスの不正取得やコメントスパムを防ぐ技術を破ろうとする新たな攻撃手法が見つかった。セキュリティ企業PandaLabとTrend Microが報告している。
Webサービスでは、スパマーがボットプログラムを使ってメールアドレスを大量に不正取得したり、スパムコメントを大量投稿したりするのを防止するため、「CAPTCHA」と呼ばれる手法を使っている。人間にしか判読できない文字を表示して、入力させるというものだ。
今回発見されたのは、ミニゲームを装ってCAPTCHAを破ろうとするトロイの木馬「Trj/RompeCaptchas.A」。このゲームは「脱衣ゲーム」と称し、Melissaと名乗るセクシーな美女の写真を表示する。写真の横にはCAPTCHA文字列が表示され、この文字列を正しく画面に入力すれば、Melissaが着ているものを脱いでいくという説明が付いている。
何も知らないユーザーがこのゲームをプレイして、文字列を入力すると、それはリモートサーバに送られ、不正なアカウント取得などに利用される恐れがある。PandaLabsによると、今回のケースではYahoo!のCAPTCHAが標的という。
Trend MicroのTrendLabsは、OCRを使ってCAPTCHAを回避する手法は以前から利用されているが、今回の手法は何も知らない人に悪事の手助けをさせるという点で新しいとしている。
Copyright © ITmedia, Inc. All Rights Reserved.