歪んだ文字を入力する「CAPTCHA」の突破方法は盲点だった

アカウントを作成するときやコメントなどを入力するときに、歪んだ文字や数字を入力して認証する方法があります。プログラムで自動的に大量に入力されることを防ぐために使います。「CAPTCHA」という認証ツールが使われています。

CAPTCHA
by Phillie Casablanca

このCAPTCHAを破るマルウェアが見つかりました。

Kaspersky Lab discovers Podec: the first Trojan to trick CAPTCHA into thinking its human | Kaspersky Lab

認証突破方法

認証を突破するために次のことを行っています。

  1. 画像をテキスト化するサービスである「Antigate.Com」にCAPTCHAの画像を送信
  2. Antigate.Comで画像内の文字や数字をテキスト化
  3. テキスト化された文字や数字を入力

人間が入力しているかどうかを判断するための認証を破るために、画像をテキスト化するサービスを使っています。タイムアウトする前に入力を完了させなければなりませんが、そんなに早く応答が返ってくるのでしょうか?

Antigate.Comとは

そこで、Antigate.Comについて調べてみました。

Antigate.Comは画像をテキストにするサービスです。価格は1000画像で0.7USDからです。平均15秒でテキスト化します。数か国の人間で行うことにより、24時間365日のサービスを提供しています。

すなわち、クラウドソーシングで画像をテキスト化するサービスです。古いドキュメントなどを電子化する際に、OCRでエラーとなった部分を変換するときに使えそうです。

人間がやっているならば、CAPTCHAからの画像であればエラーを返すことができるのではないかと考えましたが、無理のようです。

画面に次々と表示される画像を見て、文字を入力する作業です。変換した量でお金が支払われますから、ほとんどの画像は数秒で文字を入力しています。とてもCAPTCHAの生成した画像なのか、古い汚れたドキュメントの画像なのかを判断している余裕はありません。

まとめ

人間の得意なところと機械の得意なところを組み合わせると、単独で行うよりも優れたことができます。コンピュータ将棋でも、人間だけやコンピュータだけよりも、協力した方が強くなります。

マルウェアにも人間の力を使うものが現れたことが脅威です。機械だけではできないように考えられたものを突破するために、人間の力を借りるわけです。

このマルウェアに感染すると勝手に有料サービスなどに登録されてしまうようです。現在のところAndroidでしか見つかっていません。

Androidを使っていなくても油断は禁物です。新しいマルウェアが開発される可能性があります。マルウェアの感染には十分に気をつけなければなりません。

  • このエントリーをはてなブックマークに追加

フォローはこちらからお願いします。

会社勤めから起業するためのウェブ集客セミナー
会社勤めから起業するための7つのステップ