UnderForge of Lack

CAPTCHA
CAPTCHA（キャプチャ、"Completely Automated Public Turing test to tell Computers and Humans Apart"; コンピュータと人間を区別する完全に自動化された公開チューリングテスト）は チャレンジ/レスポンス型テストの一種で、ユーザが人間であるかどうかを決定する計算処理に使われる。この用語はカーネギーメロン大学のLuis von Ahn、マヌエル・ブラム、Nicholas J. Hopper、IBMのJohn Langfordによって2000年に造られた。日本でよく使われる「画像認証」はその一つ。

主にSPAMを防止する手段として使用される「画像認証」ですが・・・

CAPTCHA破り対策も効果なし、Hotmailで繰り返される攻撃
MicrosoftがWebメールサービスLive Hotmailでアカウントの不正登録を防ぐために変更を施したCAPTCHAシステムが、再びスパマーに破られていると、セキュリティ企業のWebsenseが伝えた。
CAPTCHAは、相手が人間かどうかを見分けるために各種Webサイトが導入している変形文字。Websenseによれば、Microsoft はボットやコンピュータプログラムによってアカウントが自動的に登録されるのを防ぐため、2008年にCAPTCHAに変更を加えた。しかし、今回判明した攻撃でそれが徒労に終わったことが分かったという。

ちなみに、一年ほど前に・・・
変形文字「CAPTCHA」はもう無意味？ 2008.02.27
Webサービスでアカウントの不正取得を防ぐために使われている変形文字の「CAPTCHA」は、もう役に立たなくなっている――。人気WebメールのCAPTCHAを破るボットの相次ぐ登場を受け、セキュリティ研究者がこう指摘した。
セキュリティ企業のWebsenseは先に、米Microsoftの無料Webメール「Windows Live Mail」のCAPTCHAを破るボットが出現したと報告。続いてGoogleのGmailのCAPTCHAも破られたと伝えている。
(中略)
CAPTCHAをさらに強化することは可能だが、現状で既に、ついていけないユーザーはかなりの割合に上っており、これ以上アルゴリズムを強化して複雑な CAPTCHAを作る価値はないとオルマン氏は断言。脅威はCAPTCHAを超えて進化しており、CAPTCHAはもはや、金目当ての攻撃を食い止めるのに有効なツールではなくなったと結論付けている。

にも拘わらず、文字を強化（難読化）したわけですが・・・
セキュリティを強化すればするほど、ユーザに困惑を強いる結果になっているようですね。

「これはひどい」と言いたくなるCAPTCHAトップ10　- 2008.03.02

てめぇはすべての文系人間を敵にまわした!!
（笑）

-----------------------
脱線
首相官邸メールマガジンがいつのまにかVeriSignに変わってました（笑）
でも総務省のメールマガジンは相変わらずGPKIのまま。
そろそろ Mozilla への認証を働きかけてほしいものですが・・・

GPKI のセキュリティ -- 2006.07.15

政府認証基盤(GPKI)が「WebTrust for CA」検証報告書を取得 -- 2008.11.11

-----------------------
Yours sincerely

This entry was posted on 火曜日, 2 月 17th, 2009 at 4:21 PM and is filed under security. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.