GoogleのreCAPTCHAシステム、自動攻撃で突破可能であることが判明。成功率は70.78%
タレコミ by taraiok
taraiok 曰く、
セキュリティ研究者は、GoogleとFacebookが採用するCAPTCHAシステムを破る攻撃方法を考案した。CAPTCHAシステムは人間に画像で表示されるパスワードを入力させることにより、プログラムによる自動攻撃でないことを証明させるシステム。研究者はGoogleのreCAPTCHAシステムを使用して実験を行った。2235を超えるCAPTCHAに攻撃を加えたところ、70.78パーセントの成功率と平均解除時間19.2秒を記録した。これは研究者の予想を超えた精度であったという(SOFTPEDIA、論文PDF、slashdot)。
Facebookの持つ200を超えるCAPTCHAシステムでも同様の実験をしたところ、成功率は83.5パーセントに達した。Facebookシステムの成功率が高いのは、Googleのシステムで利用される画像は画質が悪いのに対し、Facebookのシステムがパスワードの表示に高品質の画像を使用しているため、認識や分類が容易であったことが原因だとしている。この攻撃のコストは一日たったの110ドルしかかからず、1つのIPアドレスによりCAPTCHAを24時間で63000個クラックできるとしている。
GoogleのreCAPTCHAシステム、自動攻撃で突破可能であることが判明。成功率は70.78% More ログイン