PR

 セキュリティ企業の米ウェブセンスは2009年2月15日、マイクロソフトが提供するオンラインサービス「Windows Live」のアカウント(Windows Live ID)が不正に取得され、迷惑メールの送信などに悪用されていることを報告した。同サービスでは、不正取得を防ぐ「画像認証」をこれまでに3回強化しているが、そのたびに破られているという(図)。

 画像認証とは、画面に表示された文字列画像をユーザーに“解読”させる認証方法。CAPTCHA(キャプチャ)などとも呼ばれる。機械的な読み取りが困難な崩れた文字列の画像を表示し、その文字列を入力させることで、作業を行っているのが人間かどうかを判断する。Windows Liveのようなオンラインサービスでは、プログラムによるアカウントの不正取得を防ぐために、画像認証を導入している。

 ところが近年、多数のボット感染パソコン(ボットネット)を使って画像認証を破り、アカウントを取得する攻撃が相次いでいる。アカウントを取得するボットは、まず、新規アカウントの登録サイトへアクセスし、アカウントを申請。そのとき表示された文字列画像を取得し、攻撃者のコンピューターに送信。それに対応する文字列が送られてくるのを待つ。

 攻撃者側では、何らかの方法で画像を解読して送信。ボットは送られてきた文字列を使って、アカウントの登録手続きを継続する。なお今回のウェブセンスの報告では、文字列画像の解読方法については言及していない。同社をはじめとするセキュリティ企業の過去の報告では、人手で解読する方法や、OCR(光学文字認識)のようなプログラムを使う方法などが紹介されている。

 ウェブセンスでは、マイクロソフトの画像認証が破られたことを2008年2月に初めて報告した。その後マイクロソフトでは、文字列画像をより複雑にして破られにくくした。しかし2008年9月には強化した画像認証も破られ、同年末に再度強化。表示される文字列画像をより一層読みにくくした。

 しかしながら今回、その画像認証も破られたことが確認されたという。ウェブセンスによれば、解読の成功率は12%から20%。5回から8回に1回は、アカウントを取得できているという。また、解読にかかる時間は、およそ20秒から25秒。

 オンラインサービスを提供している企業の多くは、アカウントの悪用を防ぐために画像認証のような対策を取っている。しかしながら今回の例に見られるように、対策を強化しても、攻撃者はすぐに順応してしまうという。このため、サービス提供企業と攻撃者のいたちごっこは今後も続くだろうと、ウェブセンスの研究者は結んでいる。