パスワードを忘れた? アカウント作成
15855 story

スパマーがCAPTCHAの突破に成功? 112

ストーリー by mhatta
どうやったんだろ 部門より

Anonymous Coward曰く、

本家/.の記事より。HotmailやYahooといった無料メールアカウントの大量自動作成に成功したスパマーがいるらしい。セキュリティ企業BitDefenderによれば、すでに15,000以上のHotmailアカウントが機械的に作成されているという。HotmailもYahooもCAPTCHAを採用しているため、スパマーはCAPTCHAの突破に何らかの手段で成功したということになる(TECH.BLORGE.comの記事)。また、自動的に作成されたYahooやHotmailのアカウントをスパムメールの送信に悪用するトロイの木馬、Trojan.Spammer.HotLan.Aも登場したようだ。

CAPTCHAの突破に関しては、本物の人間を使った人海戦術や、偽装サイトにおびき寄せた人間に代わりにCAPTCHAを突破してもらうといった比較的ローテクな手法から、AIや機械的画像認識アルゴリズムを利用した高度な手法まで提案されているが、実地で利用されたケースはほとんど無いという。今回使われたのがどのような手法なのかはまだ判明していない。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • すばらしい (スコア:5, 興味深い)

    by leiqunni (8779) on 2007年07月09日 16時43分 (#1186966) 日記
    これが人海戦術によるものでなく、純粋にソフトウェア技術のたまものであるとしたら、
    エンジニアとしては喜ぶべきことでしょう。なぜなら画像処理技術がまた一歩前進したからです。
    CAPTCHAを用意してる側は画像生成アルゴリズムを(少し)変更すれば、
    微々たる作業でこれを防ぐことができます。

    面白いのは、こういったハッカーに対し資金やモチベーションを提供するのは、
    防御側ではなく攻撃側なんですよねー。
    仕事柄「1000万通送信できるメールサーバ構築してよ」というのはありますが、
    「1000万通のスパムを受信しない方法にお金出すよ!」っていうのは全然ありません。
    スパムを送信することはお金を生みますが、防御はお金を生まないですものね。

    # captcha.jpの中の人なので
    • Re:すばらしい (スコア:4, おもしろおかしい)

      by Anonymous Coward on 2007年07月09日 17時25分 (#1187005)
      まったくです、男性諸氏としては喜ぶべきことでしょう。
      これで夢のモザイク除去技術が一歩前進したといえますから。

      #mozaiku-jyokyo.jpの中の人なので

      ##なわけない
      親コメント
      • Re:すばらしい (スコア:4, すばらしい洞察)

        by Anonymous Coward on 2007年07月10日 2時03分 (#1187247)
        バカだなあ。
        モザイクのかかってないのなんかエロくないじゃないか。
        親コメント
    • Re:すばらしい (スコア:3, すばらしい洞察)

      by 127.0.0.1 (33105) on 2007年07月09日 17時13分 (#1186990) 日記
      >CAPTCHAを用意してる側は画像生成アルゴリズムを(少し)変更すれば、
      >微々たる作業でこれを防ぐことができます。

      できます、という根拠が不明なので何とも評価しにくいのですが、
      根本的にCAPTCHAを無力化するような画期的な仕組みが開発されたとしたら
      微々たる作業で済むどころか、何やっても無駄ということに
      なりかねないんじゃないですか?

      >「1000万通のスパムを受信しない方法にお金出すよ!」っていうのは全然ありません。

      そういうことだと、世の中に有償のスパム対策システムが存在できないと思いますが
      現実には沢山存在しますよ。
      親コメント
      • by leiqunni (8779) on 2007年07月09日 17時32分 (#1187015) 日記
        おそらく万能なアルゴリズムが開発されたわけではないので、
        Yahoo!やHotmailのCAPTCHAに特化してるので、生成アルゴリズムを変更するだけです。
        パラメータをいじるだけでいいかもしれません。

        逆に根本的にCAPTCHAを無効化する仕組み(=人間が読める文字は何でも読めるアルゴリズム)
        なんてのが開発されたら、CAPTHCAなんてどうでもいい技術ですね。

        有償のスパム対策システムは会社の中の人が月給30万ぐらいで作ってるんでしょうが、
        スパム送信の話は僕個人に8桁の値段できます。来ました。

        #でも、システムは作れるけど回線が無いのでお断り
        親コメント
        • by ken2 (27347) on 2007年07月09日 20時42分 (#1187117)
          元コメントがちょっと誤解されているような感じがするので、補足(専門の人に補足とはおこがましいが)としてここにつけます。

          CAPTHCAは、Completely Automated Public Turing Test To Tell Computers and Humans Apart、つまり自動化されたチューリングテストなわけですよね。実現できてるかはさておいて目指すところとしては。

          「根本的にCAPTCHAを無効化する仕組み」とは「チューリングテストをパスする仕組み」なわけで。そんなものができてしまえば、それはそれはすごいことだと思います。
          # もちろん(本来の意味の)チューリングテストをアルゴリズムで行うことは可能か? という問題はありますが。
          親コメント
        • by 127.0.0.1 (33105) on 2007年07月09日 18時45分 (#1187061) 日記
          お金になるならないの話は、ちょっと誤読していたみたいです。すいません。

          メールの大量送信ソリューションが8桁の価格というのは、ただ単に
          一般的に需要がなく、製品として出回っていないから、そういうことを
          したい人はそういう価格でオーダーメイドするしかないという話では。
          システムだけなら月給30万の社員でも一桁安い価格で割と簡単に
          組めるんじゃないですかね。(回線はやっぱり別でしょうけども)
          結局、メールの大量送信ソリューションがいいお金になるのではなく
          そういう発注をかけるような顧客を持つことが重要なだけのことですね。
          親コメント
        • by harako (114) on 2007年07月09日 21時45分 (#1187145)
          あくまで憶測なんで、可能かどうかもわからないのですが、

          10 CAPTCHA のアルゴリズムを元に逆フィルタをかける
          20 それを OCR のような文字認識ロジックにかませる
          30 IF 認識可能文字が取得できなければ THEN GOTO 10
          40 ID 作成をトライ
          50 IF 失敗すれば THEN GOTO 10

          のような感じかなぁ。
          どうでしょう。

          親コメント
    • Re:すばらしい (スコア:2, すばらしい洞察)

      by Anonymous Coward on 2007年07月09日 16時55分 (#1186971)
      >エンジニアとしては喜ぶべきことでしょう。なぜなら画像処理技術がまた一歩前進したからです。
      >CAPTCHAを用意してる側は画像生成アルゴリズムを(少し)変更すれば、
      >微々たる作業でこれを防ぐことができます。

      攻撃側が画像処理技術の秘匿に成功し続け、かつ技術の詳細が不明であるがため、
      これを防ぐためのアルゴリズム変更が困難であり続ける可能性について。

      #そのうち漏れる可能性の方が高いと思うけど
      親コメント
    • Re:すばらしい (スコア:2, すばらしい洞察)

      by superfox (31908) on 2007年07月09日 16時56分 (#1186975)
      > 画像処理技術がまた一歩前進した

      オープンになってくれないと OCR とかに入れられない…。

      > 「1000万通のスパムを受信しない方法にお金出すよ!」っていうのは全然ありません。

      spam を送信しようとしている側は真っ当な技術を持ってないが、逆側は各社内部でなんとかしてるんじゃないでしょうかね。

      うちは私が spam filter 導入したんですが、その直前は毎日の朝の仕事が spam の選分けになっていて、とても焦っていました(「皆が同じことをしているとしたら、一体幾らの損失だろう!」)。

      spam filter も CPU を結構食うので今は先に maildrop を通しています(ある種のヘッダ条件が揃えばゴミ箱へ)。私自身は一度誤検出された正規のメールがあったので spam 候補をざっと眺めることにしていますが、それでも玉石混合状態から探すよりは大分マシです。

      ただ、spam の全体量が増えると spam filter から漏れ出てくる量も増えるので、今後も楽観視は出来ないような話も聞いています。
      親コメント
    • by Anonymous Coward on 2007年07月09日 17時12分 (#1186988)
      >CAPTCHAを用意してる側は画像生成アルゴリズムを(少し)変更すれば、
      >微々たる作業でこれを防ぐことができます。
      日本人向けにひらがな/カタカナ/漢字を混ぜた認証システムを作ればいい。
      そうすれば外人会員排除にも有効?

      >「1000万通のスパムを受信しない方法にお金出すよ!」っていうのは全然ありません。
      表立っては無いでしょうけどセキュリティー会社に売り込めるし、本当にその能力あるなら
      自分で会社創設も可能かも。
      親コメント
      • Re:すばらしい (スコア:2, おもしろおかしい)

        by Anonymous Coward on 2007年07月09日 19時51分 (#1187094)
        [ ]左のボタンをクリックして下さい→ [ O K ]

        でいいや。
        親コメント
      • by jealous (30922) on 2007年07月09日 18時27分 (#1187042)
        >日本人向けにひらがな/カタカナ/漢字を混ぜた認証システムを作ればいい。
        >そうすれば外人会員排除にも有効?
        確かに漢字とかを画像で表示し、それを入力させるのはうまい方法ですよね。
        画数の多い漢字なんかは非常に画像認識させづらいと思いますし。
        漢字入りのフォントを持っていないであろう外国向けには数種類の画像から同じものを選択、といった形にするといいのかな?
        #それだと画像認識とは少し逸れてしまいますが
        親コメント
    • by Anonymous Coward on 2007年07月09日 17時31分 (#1187013)
      手書き認識の時の自分の書いた絶望的な文字(みんなそうですよね?私だけじゃないですよね?)ですら認識するんだから、そんなに難しい訳では無いと思うのですけど?

      昔作った時は線の端の個数と線の角度(八方向だけ)と線の端の分布(全体を4分割して)って程度でアルファベットならそれなりに認識しましたから。

      #流石にoと0とOは苦しかったけど、でもCAPTCHA破り程度なら完璧な確率も要らないんでリトライさせるだけなんじゃないかと思う。

      親コメント
      • by Anonymous Coward on 2007年07月09日 17時44分 (#1187022)
        最近のは見る機会がないのでなんともいえないが、以前見た画像だと、歪みのほかに傾きがあって、それが自動認識を困難にしてたらしい。
        画像スパムも最近は傾いたのが主流で、フィルターの画像認識からすり抜けてる、という話も聞いたことがある。
        まぁ今の画像認識なら傾きくらい補正してると思うが。

        少なくとも画像系のいたちごっこは、最終的に認識する側が勝つだろう。
        CAPTCHAが無意味になる代わりに、画像スパムも無意味になる、かな?
        親コメント
      • by Anonymous Coward on 2007年07月10日 0時53分 (#1187225)
        >手書き認識の時の自分の書いた絶望的な文字ですら認識するんだから
        手書き文字認識は、書き順を重視しているので、OCRとは別の物だと思います。
        試しに、出鱈目な順番(線を引く方向とかも変える)で文字を描いて(←敢えてこっちの字)みましょう。
        習字の手本や、広く使われているフォントなどにそっくりな美しい字が描けたとしても
        認識結果はさっぱりな事になると思います。なので、書き順さえ正しければ、字なんて読めない代物でも問題ないんです。
        本人でも解読不能な殴り書きの暗号メモ帳でも、完成図の静止画だけでなくて、動画付きなら、スロー再生すれば他人にも読める筈って理屈ですな。
        親コメント
  • by cannabis (31589) on 2007年07月09日 19時02分 (#1187071)
    先日/.Jでもトピックになっていたクリックゲーム
    http://srad.jp/article.pl?sid=07/06/05/0044217 [srad.jp]

    「CAPTCHAを破るための餌だったりして。」
    なんて話題がありましたが、その後CAPTCHAを自動認証するFirefoxのプラグインが日本人の手によって作られました。
    とはいっても画像認識しているわけではなく、一見自動生成のように思われたCAPTCHAが、実は同じ画像の使いまわしていることに気づいた2ちゃんねる住人の発見が発端で、それなら画像をデータベース化してしまえ
    ということでハッシュ化された画像DBをサーバー経由で共有するまでに開発が進みました。
    こうした偽CAPTCHAによる認証については高木浩光氏も以前から指摘していましたが http://takagi-hiromitsu.jp/diary/20060810.html [takagi-hiromitsu.jp]
    案外ランダムのように見えていたのは生成アルゴリズムではなく、画像選択処理だけだったというケースは多いのかも知れません。
    • by Anonymous Coward on 2007年07月10日 3時23分 (#1187260)
      数年前のことになりますが、その当時のYahoo!のCAPTCHAは比較的容易に突破できました。

      そのCAPTCHAは、うねった英単語が表示されるタイプで、
      片っ端から画像をかき集めると、確か画像数は全体で数万点程度になったと思います。

      が、恐らく自動一括で生成した際の情報がそのまま残っていたのか、
      HTTPヘッダに更新日時の記録が残されており、
      その順に画像ファイルを並べ替えると、きれいに画像が英単語のabc順に並んでしまいました。
      しかも一つの英単語につき20種類ぐらいずつ画像が作成されていたため、
      結局、高々千個程度の英単語を読み上げるだけで対応表を作成できました。
      親コメント
  • by Anonymous Coward on 2007年07月09日 16時56分 (#1186973)
    人間の眼には解読不能になるのかな
  • ちょっと探せば、色んなサイトのCAPTCHAに対して90%~100%等の実用に足る認識率で破れるツールはぞろぞろ見つかります。
    単にそれを実行する人の割合が少ないので、サイト開発側はコスト的に現在の CAPTCHA が落としどころになっているというだけ。

    サイトの性質によってどれほどコストをかけるべきかの判断は違うので一概に CAPTCHA じゃ安心できないとは言えないでしょう。
    比較的カジュアルな大量取得を防ぎたいという要件なら依然効果はあると思います。

    スパマーからしたら、HotmailやYahooやGmailなどメールサービスは狙い目でしょうから対策にコストをかけざるを得ないかもしれませんね。
    一般のサイトではまだそこまで心配しなくても良いのでは…、と思います。
    • スパマー対策というと、スパムボットをはじくためのフィルタとか、CAPTCHAとか、認証ばかりに目がいきがちですが、
      それと同時に、「巡回してくるボットが登録フォームの存在をかぎつけないように、フォームの存在を隠す」対策も必要ではと思います。
      大手ではなく一般のサイトでは、スパムターゲットは手動ではなくロボットが見つける事が大半でしょうから、特に有効かと思います。

      実際、私の運営しているウェブサイトのアクセスログを取ってみると、たとえ本物のCGIプログラムではなくて、フォームの使い方の解説用としてHTMLファイルに記述したダミーフォームであっても、そのフォームに定期的にPOSTしようと試みてはいつも失敗している怪しげなスパムボットがやって来る事があります。
      どうやら、掲示板やブログやメールフォーム等の投稿フォームにありがちなフォームのパターン(name, emailといった名前のテキストボックスに加えてtextareaという構成)をスパムクローラが見つけると、スパムターゲットとみなされてロックオンされてしまうようです。

      掲示板やブログやメールフォーム等のCGIプログラムの開発を考えているなら、完全な投稿フォームを、クローラから見える範囲に丸裸で置いておくのではなくて、チューリングテストにパスした時だけ見せるのがスパム防止に有効です。
      実際私も、チューリングテストとまではいかないまでも、入口に「氏名」のテキストボックス+「次画面」ボタンだけの単純な投稿フォームを作って、そのフォームにPOSTしないとtextarea要素を含む完全な投稿フォームを表示しないよう、メールフォームプログラムを手直ししたところ、一時期毎日のように来ていたスパム投稿がパタリと止んだ実績があります。

      もっとも、HotmailやYahoo並の大手サービスとなると、犯罪者もボットで探すのではなく手動で個別に対応するでしょうから、また別の話になるかもしれませんが。
      --
      ハイバネーション(=冬眠)中。 押井徳馬(・(T)・)
      親コメント
      • >スパマー対策というと、スパムボットをはじくためのフィルタとか、CAPTCHAとか、認証ばかりに目がいきがちですが、

         こちらでは、被リンク数稼ぎ(?)のURL羅列spam対策に限れば、以下2つの条件で99.9%排除できてます。
        ・formの"mail"とかに「@」が入っていたら弾く
        (今時、わざわざe-mailのspamを呼び寄せる「人」はいないよねー。
         どーせ使わないので、nameはmailでそのままでサイト持ちのURL記入欄に改造してるのに)
        ・本文のtextareaに「<a」「[url=」が入っていたら弾く
        (うちのBBSは、HTMLは受け付けないし、BBCodeも受け付けないよ)

         掲示板にspamに舞い込みはじめた頃はその対策がちょっと面白かったのですけど、近頃はワンパターンの馬鹿なプログラムしかなくて退屈です。
         おそらく、そんなのでも世の多数の無防備な掲示板に書き込めるので、たまに出会う小細工に対応する必要はないのでしょう。

        >完全な投稿フォームを、クローラから見える範囲に丸裸で置いておくのではなくて、チューリングテストにパスした時だけ見せるのがスパム防止に有効です。

         これは、spam投稿ロボット自体が来なくて、無駄な回線負荷やCPU負荷がなくなるのがよいですね。
        親コメント
    • スパマーからしたら、HotmailやYahooやGmailなどメールサービスは狙い目でしょうから対策にコストをかけざるを得ないかもしれませんね。
          一般のサイトではまだそこまで心配しなくても良いのでは…、と思います。
       一般のblogや掲示板の場合、むしろ、CHAPTCHAをもっと優しくするべきだと思ってます。
       それらの場合に防ぎたいのは、無差別のspam書き込みです。無差別のspam書き込みを防ぐには、「CAPTCHAがある」ことだけで十分です。

       既にいわゆるCAPTCHAを解析するツールは色々あります(*)。しかし、少なくとも今のところ、CAPTCHAの種類を判定してそれに合わせた解析を行い、その結果をformの正しい項目に当てはめる「賢い」spam投稿プログラムは(たぶん)無いでしょうから。

      *:参考
      CAPTCHA --- Radium Software Development 2006-11-07 [radiumsoftware.com]
      PWNtcha - captcha decoder [zoy.org]
      Breaking a Visual CAPTCHA [cs.sfu.ca]
      /aiCAPTCHA : CAPTCHA Comment Spammer [mperfect.net]

       ただし、あまり軟弱なのもどうかとは思います。特に、「狙い撃ち」される可能性がそれなりにあるサイトでは。
       「高木浩光@自宅の日記 - 飾りじゃないのよCAPTCHAは ~前代未聞のCAPTCHAもどき, CAPTCHA機能の発注仕様をどうするか [takagi-hiromitsu.jp]」で扱われているほど酷くなくても、「CAPCHAもどき」と言えそうなのを時々見ます。
       メジャーなサイトでは例えば、はてなダイアリーのguestで投稿する場合のCAPTCHA。簡単そうだよなーと思って試したら、簡単に機械投稿できました [hatena.ne.jp]。ビットマップの画像データを色々いじった経験のある人なら、簡単でしょうね。
      親コメント
      • > 無差別のspam書き込みを防ぐには、「CAPTCHAがある」ことだけで十分です。

        これは、まさにその通りだと思います。

        自作の掲示板で、平均一日に数通、ひどいときは数時間ほどの間に100通以上スパム投稿されることがあったのですが、
        アクセスカウンタ用のcgiを改造して作った、文字に何のエフェクトをかけない、ただ並べるだけのCAPTCHAもどきを設置したところ、
        スパム投稿は一ヶ月に1通あるか無いかぐらいに減りました。
        (最初、マジメにPerlの Authen::Captcha を使ったCAPTCHAを組み込んだんですが、
        「文字が読みにくくて入力に失敗することがある」って問題と、CPU負荷が高いので、上記手抜きシステムに変更)

        あとは、日本人専用にするなら、数字をかなで表示してアラビア数字入力させればいいんじゃないかと思ってみたり。
        「いち さん にい なな」と表示されてたら「1327」と入力、みたいな。
        親コメント
        • >日本人専用にするなら、数字をかなで表示してアラビア数字入力させればいいんじゃないか

          慣れた旅行者は海外の宿ノートでオーナーに見られてもいいように
          「ココのホテルは二十五ドルまで値下げ可能でした、友人から聞いたと言って頑張ってください。」
          「もっと安い宿は駅の西にあります。電話は三五八-九七二二 です」
          という具合に漢数字を使うというエピソードを思い出しましたw。
          親コメント
  • もどき (スコア:3, 興味深い)

    by Anonymous Coward on 2007年07月09日 17時46分 (#1187023)

    こういうオチ [takagi-hiromitsu.jp]じゃないですよね?

  • 大量の (スコア:2, おもしろおかしい)

    by Anonymous Coward on 2007年07月09日 16時40分 (#1186963)
    あるまじろを仕込んだんじゃないかな?

    そのうちあるまじろが会社を作ってスパマーは追い出されるかもしれない。
  • 実は (スコア:2, おもしろおかしい)

    by strict_ansi (2886) on 2007年07月10日 8時43分 (#1187286)
    世界のどこかで CAPTCHA の吐いた画像を使った
    「能トレ」とか「タイピング練習」が流行ってるんじゃないか。
    もちろんユーザの入力はサーバで集約されて…
  • by repd (34314) on 2007年07月09日 16時44分 (#1186967)
    CAPTCHAですか。確かGmailのアカウント作成時にも使われてませんでしたっけ。
    この突破の手法が広まってGmailアカウントがスパマーの温床になるのだけは避けたいです。
    公私を問わず活用させてもらってるので、アカウントごと弾かれるような未来は想像したくないです…
  • > すでに15,000以上のHotmailアカウントが機械的に作成されているという。

    機械か人かどうやって見分けたの?

    # 機械>的<って言ってるだけで機械とは言ってない?
typodupeerror

にわかな奴ほど語りたがる -- あるハッカー

読み込み中...