パスワードを忘れた? アカウント作成
37808 story
セキュリティ

CAPTCHAの進化とAIの進化とのいたちごっこ 67

ストーリー by hylom
人かどうかを見破るのは難しくなるいっぽう 部門より

あるAnonymous Coward 曰く、

Microsoft ResearchはAsirraという画像ベースのCAPTCHAを開発しているが、これを破るプログラムが既に開発されているそうだ(Technology Review本家記事)。

Asirraは表示される犬や猫の画像から、すべての猫(or犬)の画像を選択するという認証方法であるが、 パロアルト研究所のPhillipe Golle氏は83%の確率で画像が犬か猫か識別できるプログラムを開発した。Asirraの画像はPetfinder.comというペットの里親募集サイトが提供している300万の画像が元になっているが、Goll氏はこのサイトから8,000点の画像集め、トライアル&エラーを通して犬と猫を見分けられるよう学習させた。識別は画像の色とテクスチャを統計分析して行われ、特に犬のピンク色の舌と猫の眼の緑色が識別の鍵となったそうだ。

(つづく...)

Golle氏曰く「機械学習は情報集約に非常に長けている」とのことだが、各画像の識別率は高くてもAsirraでは12点の画像を識別しないといけないため、実際の突破率は10.3%に落ちてしまうとのこと。

現在広く使われているテキストベースのCAPTCHAはBotの精度が上がるにつれ難読化しており、人間にも難しくなってきている。そこで次はユーザに問題を解かせる形式のCAPTCHAが開発されていたが、本格稼動する前に破られたかたちとなる。CAPTCHAはAI研究の格好の課題となり、スパマーによって進化させられるCAPTCHAがAI研究を推し進めている面があるようだ。

とはいえ、スパマーは低賃金労働者を雇いCAPCHAを破らせているという報告もされているように、実際のスパマーがこのようなプログラムを開発しているかというのはまた別問題である。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2008年10月16日 17時41分 (#1438607)
    今後の方向としては、もっと機械にとって難しい命題にせざるを得ないでしょう。
    例えば
     ・松本零士の女性キャラを12人並べて鉄郎の母親を当てさせる
    みたいな……。
    #あだち充の、でもいいかも知れない。
  • 舌とか瞳に特徴があることに気づくようなフィルタということは
    SPAMのパターン学習に使われるようなベイジアンフィルタが
    バックエンドに走っていて判定してたのかな。
  • 対抗策 (スコア:2, すばらしい洞察)

    by VOT (18468) on 2008年10月16日 17時20分 (#1438594)
    > 識別は画像の色とテクスチャを統計分析して行われ、
    > 特に犬のピンク色の舌と猫の眼の緑色が識別の鍵となったそうだ。

    画像を白黒にすれば、とりあえず精度は下がりそうな。
    • Re:対抗策 (スコア:3, おもしろおかしい)

      by SNT (23129) on 2008年10月16日 18時44分 (#1438636)
      >画像を白黒にすれば、とりあえず精度は下がりそうな。

      まぁ、白黒だと、人間でも見分けがあまりつかないですし。
      http://www.gatch.jp/osugi.html [gatch.jp]
      親コメント
    • by Anonymous Coward
      そもそも、そんな判り易すぎる画像を使わなければいいような。
      犬の写真は舌を出していないものだけ、猫の写真は目が光ってないものだけ、それでいいんじゃない?
      • 逆に、舌を出しているネコと、目が光っている犬を混在させるというのはどうだろうか?
        もしくはAIのためのダミー抽象画を用意するなど。

        犬猫画検索エンジン+特徴交換エンジン+抽象画像生成エンジン

        親コメント
      • by Anonymous Coward
        ほどなく舌と瞳に次ぐ決定的な識別点が発見されるだけの予感
  • 逆手にとってやれ (スコア:2, おもしろおかしい)

    by Anonymous Coward on 2008年10月17日 1時05分 (#1438822)

    CAPTCHAはAI研究の格好の課題となり、スパマーによって進化させられるCAPTCHAがAI研究を推し進めている面があるようだ
    ぬ、なんだと?

    では無料メールの登録時限定だがこれならどうだ。

    今から50件のメールを見せます、一覧にはタイトルが載っていて(fromはなし)クリックすれば本文を読むことができます。まずご利用の言語(母国語か理解できる言語)を選んでください、メールは全てその言語で表示されます。このメールを迷惑メールとそうでないものに仕分けして、迷惑メールに分類したものは理由も選択してください。間違い2つまでなら次へ進めます。
    グハハハハざまあみやがれ。
    /* 表示されるもののうち、迷惑メールはユーザーが手動で迷惑メール送りにしたもの、すなわちフィルタを通り抜けたものに限られる。迷惑メール以外は公開MLのログや、ビジネスメールテンプレート等から生成される他、社内で文面から誤判別されてしまうものを作成 */

    そしてこうなる:

    メール判別テストアンチスパム研究の格好の課題となり、スパマーによって進化させられる学習フィルタ精度向上を推し進めている面があるようだ
    通り抜けて作られたアカウントは今までどおりの手法で見つけて凍結すればよろし。
  • by youichi (329) on 2008年10月16日 18時54分 (#1438641)
    対抗して、犬とうなぎの画像から、うなぎのみを選択する認証方式を作るぞ。
  • CAPTCHA considered harmful (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2008年10月16日 20時08分 (#1438671)
    もうそろそろ CAPTCHA はやめたほうがよいと感じる。
    視覚障害者にとってだけではなく、健常者にとっても判別が難しく、
    非常に不便なソリューションになってきている。

    おそらくボットによるアカウント取得が最も防御したい攻撃先だと思うが、
    別の方法を考えたほうがよい時期に来ていると思う。

    アカウント取得とかの重要なフォーム以外は
    もっと簡単な方法で防御できることがほとんどだし。
    • by Anonymous Coward on 2008年10月16日 21時02分 (#1438695)
      まぁ、それは誰もが思っていることでしょう。

      >別の方法を考えたほうがよい時期に来ていると思う。

      いや、最初に破られた時点から、別の方法はいろいろ研究されている事でしょう。ただ実用的かつ効果的なアイデアが生まれて来ないだけ。

      親コメント
  • 結局CAPTCHAというやり方がもう限界に近いんでしょうね。
    サービス提供者側で、申込者が機械か人間かをパッシブに判別しようという考え方自体が。

    いっそのことパッシブに判断するのはやめて、回線業者のユーザ認証を何らかの形で
    外部からオープンに使えるような共通フレームワークってないものですかねぇ。

    たとえば、IPアドレスを逆引きするとDNSレコードのどっかに
    回線契約者ごとにユニークなハッシュ(例えば1日ごとに変わる)がかかれてて
    それを参照することで1回線契約で何十人もの申し込みをしようとする奴を蹴れるようにするとか。

    高木先生の恐れるインターネット終了の日がやってきそうですね。
    でもネットイナゴ全滅で池田先生狂喜。
    • 全ての大量申込者、とは言いませんが、大量にアカウント取って不正しようとするような輩の幾許かはBOTネットワークを持っていると思います。そうすると回線(IPとか)単位でのブロックはあまり意味をなさないんですよね……。

      確実なのは申込時に住所を入力させて、認証キーを書いたハガキなり何なりを郵送することなんでしょうけど、かなりコストがかかりますしね。

      むしろUSB接続か何かのトークンみたいなのを格安で一般販売して、「このWebサービスは1トークンで1回登録できます」とかやればいいんじゃないかしら。(特定のWebサービスを登録しても別のWebサービスは同じトークンで登録できるので、1つ購入すれば対応サービス全てを1回ずつ利用できる、という話です。)
      そんなもの全世界で販売できる企業があるの?という問題はありますが、とりあえずそれ1個買っておけば普通に使う分にはあまり困らないから負担は少ないと思います。
      --
      神社でC#.NET
      親コメント
      • IPアドレスではなく契約者単位のトラッキングが可能になれば
        BOTネットワークのパージも楽になりそうだなぁと思ったり。

        オフライン前提なら方法はいろいろありそうですね。
        おっしゃられているUSBトークンなり、主流となりつつある携帯電話メールアドレス認証なり、
        はがきでの住所認証なり、ふと思いついたIVRを使った電話番号認証なり、
        役所の住民票ベースの電子証明書発行なり、免許書番号認証なり、
        クレジットカード番号認証なり、パスポート番号認証なり・・・・。

        結局はインターネット以外の、より信頼できるメディア上で
        個人を認証するという仕組みが確実そうですが、なんとなく
        インターネット=個人特定性に劣るもの
        オフラインの手段=個人の特定が可能なもの
        という前提で進めなければならないのが残念です。

        # なんとかならんものか。
        親コメント
    • 昔に戻って、DHCPもNATも廃止して、グローバル・スタティック以外のIPアドレスを禁止しちゃえばいいんだ。
      親コメント
  • 高度な自立思考機能付きなメイドロボが実現してCAPTCHA全て無駄になってしまう、という話を思いついた(笑)
    でも、人間と同様の思考形態が本当に実現すれば、そうなっちゃう?

    #シルファ派なのでID
  • 亀の話をして反応速度を計ればいいんだと思う。
  • by Anonymous Coward on 2008年10月16日 17時31分 (#1438600)
    >パロアルト研究所のPhillipe Golle氏は83%の確率で画像が犬か猫か識別できるプログラムを開発した

    なんて余計なプログラムを開発してくれたんだ・・・。

  • by Anonymous Coward on 2008年10月16日 19時50分 (#1438662)
    Google Street Viewみたいに。
typodupeerror

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

読み込み中...