スパム避けに使われるGoogleの「reCAPTCHA」を自動的に99%以上突破するスクリプトが登場


相手が人間なのか機械なのかを判別する方法としてコメント欄のスパム避けなどにGoogleの「reCAPTCHA」がよく使用されていますが、これを99%以上という高精度で突破するスクリプト「Stiltwalker」が登場しました。

Google's reCAPTCHA briefly cracked - The H Security: News and Features



先週末にロサンゼルスで開催されたLayerOne securityカンファレンスにて、DC 949 Research Teamという3人組がreCAPTCHAを突破した方法を明らかにしました。

CAPTCHAとは「Completely Automated Public Turing test to tell Computers and Humans Apart」、つまり人間と機械を自動的に選り分けるチューリング・テストのことで、中でもGoogleが提供しているreCAPTCHAは、数あるCAPTCHA系の中でも信頼性が高いと考えられているシステムの1つです。

reCAPTCHA: Stop Spam, Read Books
http://www.google.com/recaptcha



reCAPTCHAが提供しているのは2つの単語を読み取らせるというもので、単語はぐにゃっと歪んでいたり、ノイズがかかっていて読みづらくなっているため、単語を正しく読み取れるのは人間だけであろうという判断を行っています。


今回登場したスクリプト「Stiltwalker」は、Googleが視覚障害者向けに提供しているreCAPTCHAの音声バージョンを解析することで、99%という高精度での突破を実現しました。CAPTCHAは膨大な語彙データを持っていて、そこから任意の単語を表示させていますが、音声バージョンのライブラリには色の名前や数字、乗り物、曜日、キッチン用具、雑貨など、わずか58語しか登録されていませんでした。


この58語というのは新バージョンでの話で、かつては数字10個だけで構成されていたこともありました。この旧バージョンの場合、例えば2011年のスタンフォード大学チームは突破率が1.52%、2008年のカーネギーメロン大学チームは58%でした。


しかし、DC 949 Research Teamでは1万7495回中1万7338回、実に99.1%の突破に成功。


58語になった新バージョンでは背後にラジオ音声が流れるなど自動解析をしにくくする変更が行われましたが、このラジオ音声も限られたデータであることがすでに突き止められており、正答率は約60%。


この新バージョンへの変更はプレゼンテーションが行われる直前にあったとのことで、デモンストレーションではうまく突破しているところを披露できませんでしたが、会場を沸かせていました。


プレゼンテーション全編のムービーがYouTubeに公開されています。
LayerOne 2012: DC-949 - Codename Stiltwalker - YouTube


また、「我々はすべてを公開する」との言葉通り、ソースコードなどの資料がサイトにて公開されています。

Stiltwalker - Defcon Group 949

・関連記事
嫌がらせとしか思えない解読困難な画像認証いろいろ - GIGAZINE

マイクロソフト、スパマー撃退のために猫画像を活用 - GIGAZINE

妹の質問に答える非常に斬新なPHP用のCAPTCHAモジュール「妹認証」 - GIGAZINE

歪んだ文字によるCaptcha機能は大別すると4種類 - GIGAZINE

自分のメールアドレスを画像認証でスパムから守る「reCAPTCHA Mailhide」 - GIGAZINE

コメントスパム対策として、ニセのコメントフォームを設置する - GIGAZINE

PukiWikiにスパム対策プラグイン「Akismet」を導入する「akismet.inc.php」 - GIGAZINE

in ソフトウェア,   ネットサービス, Posted by logc_nt