Black Hat Asiaの Google と Facebook の CAPTCHA サービスは、「あなたは人間ですか?」という検証の課題を解決する自動システムを設計することに成功した研究で打ち負かされました。
CAPTCHA は、ソフトウェアが解読するのが難しい課題を提示することで、信頼できるユーザーにとっては作業を容易にし、ボットにとっては作業を困難にするように設計されています。
Suphannee Sivakorn ... 画像: Darren Pauli、The Register
リスクの低いユーザーには、ボックスにチェックを入れる以外のチャレンジを必要としない noCAPTCHA が表示されますが、リスク スコアが高いユーザーは、Web 登録ページ全体で一般的な画像とテキストの reCATPCHA チャレンジを解決する必要があります。
コロンビア大学の3人、Suphannee Sivakorn氏、Jason Polakis氏、Angelos D Keromytis氏によって開発された攻撃システムは、先週シンガポールで開催されたBlack Hat Asiaで発表されました。
2,235 個の CAPTCHA に対するテストでは、平均実行時間は 19.2 秒で、CAPTCHA 解読成功率は 70.78 パーセントでした。
3人によれば、この技術はフェイスブックが使用するものを含む他のCAPTCHA方式にも適用可能で、精度は83.5%とさらに高くなるという。
Google は、説明されている攻撃に対して CAPTCHA サービスを強化したが、Facebook は研究者の質問に回答しなかった。
チームは「私は人間ではありません: Google reCAPTCHA の解読」 [PDF]の中で、同社の攻撃サービスは、低賃金で人間に課題の解決を頼っている既存のクラッキングサービスよりも、あらゆる形式の CAPTCHA を解読する精度と速度に優れていると述べている。
「人間の解答者が画像 reCaptcha に慣れてくるにつれて、精度は時間とともに向上するかもしれないが、私たちのシステムが費用対効果の高い代替手段であることは明らかだ」と研究者たちは言う。
「それでも、当社の完全にオフラインの CAPTCHA 破りシステムは、精度と攻撃時間の両方においてプロの解決サービスに匹敵し、攻撃者にコストがかからないという利点もあります。」
現在の市場レートでは、攻撃者は 1 IP アドレスあたり 1 日あたり 110 ドルを稼ぐことになる。
研究チームは、正解トークンが変更されないように設計された Google の CAPTCHA のセキュリティ制御が回避可能であることを発見した。
また、正当なユーザーの必要な識別基準を前提とした仮想ホストを起動し、通常の範囲を超えて CAPTCHA を解決するためのクリーンな Cookie を生成することもできました。
これにより、ブラックハット CAPTCHA 破りサービスの作成が可能になります。チームは概念実証で、セキュリティアラームを作動させることなく、24 時間以内に 1 つの IP アドレスから 63,000 個もの CAPTCHA 破り Cookie を作成しました。
「私たちは、いかなるメカニズムも作動させたりブロックされたりすることなく、1日に63,000個以上のクッキーを作成することができ、制限されるのはマシンの物理的能力だけだ」と同社は述べた。
これは、単一の IP アドレスからの Cookie の作成を禁止するメカニズムが存在しないことを示しています。
ピーク時には 1 時間あたり約 2,500 件の CAPTCHA が消費されましたが、ピーク時にはその値は 1,200 件まで減少し、週末には 1 日あたり 59,000 件に達しました。
これは、Google の分散型サービス拒否攻撃防御のばらつきによるもので、チームが送信した「膨大な」数の CAPTCHA リクエストによって、この防御がオンとオフを交互に切り替えていた。
千の言葉に値する
チームは、画像解決プロセス内で受け入れられる回答の柔軟性を発見し、解決を自動化できるシステムを構築しました。
さらに調査を進めると、reCAPTCHAは少数の画像プールから画像を取得していることが判明しました。画像ごとにMD5ハッシュは異なっていましたが、研究者たちは永続的なハッシュを用いて同一の画像を特定することに成功し、最も多く見られたものは12回も見られました。
自動化された攻撃システムは、ヒントとタグのメタデータ情報とさまざまなディープラーニング システムを取得し、候補となる CAPTCHA 画像に関する情報を作成して解決を支援します。®
