CAPTCHA-Breaking Services with Human Solvers Helping Cybercriminals Defeat Security
2023/05/30 TheHackerNews — ボットと正規ユーザーのトラフィックを識別する CAPTCHA システムを、バイパスするための解除サービスが販売されていると、サイバーセキュリティ研究者たちが警告している。Trend Micro は先週のレポートで、「サイバー犯罪者は、CAPTCHA を解除することに熱心であり、この需要に対応した、いくつかのサービスが展開されている。これらの CAPTCHA 解除サービスは、光学式文字認識や機械学習手法などを使用するのではなく、CAPTCHA の解除を実際の人間に委託して解除している」と述べている。
CAPTCHA とは、Completely Automated Public Turing test to tell Computers and Humans Apart の略称である。本物の人間とボットを区別するものであり、スパム対策や偽アカウント作成の制限などに使用されている。
CAPTCHA の仕組みは、ユーザー・エクスペリエンスを阻害する可能性がある一方で、ボットによる Web トラフィックからの攻撃に対抗する、有効な手段であると考えられている。
そして、この不正な CAPTCHA 解除サービスは、顧客から送信されたリクエストを、人間の解除者に委ねて CAPTCHA を解除させ、その顧客に結果を返すことで機能する。
つまり、CAPTCHA を提出するために API を呼び出し、結果を得るために2番目の API を呼び出すことで実現されている。
セキュリティ研究者である Joey Costoya は、「CAPTCHA 解除サービスを利用する顧客は、Web サービスに対する自動化ツールを簡単に開発できるようになる。そして、実際の人間が CAPTCHA を解いているため、これらのテストを通じて、自動化されたボット・トラフィックをフィルタリングするという目的の効果が消えてしまう」と説明している。
そればかりではない。CAPTCHA 解除サービスを購入する脅威アクターは、プロキシウェアと組み合わせることで、発信元 IP アドレスを隠蔽し、アンチボットの障壁を回避していることが確認されている。
プロキシウェアとは、ユーザーが使用していないインターネット帯域幅を他者と共有し、不労所得を得るためのユーティリティとして販売されているものだ。しかし実際には、それを実行するデバイスは住宅用プロキシに置き換えられている。
ソーシャル・コマースの人気マーケットプレイス Poshmark をターゲットにした、 CAPTCHA 解除サービスの一例では、ボットから発せられるタスク要求が、プロキシウェア・ネットワークを経由してルーティングされていたという。
Costoya は、「CAPTCHA は、スパムやボットの不正利用を防止するための一般的なツールだが、CAPTCHA を破るサービスの利用が増えたことで、CAPTCHA の効果が薄れている。オンライン Web サービスでは、不正利用者の発信元 IP をブロックすることができるが、プロキシウェアの普及により、この方法は CAPTCHA と同様に歯が立たないものになっている」と述べている。
このようなリスクを軽減するために、オンライン Web サービスは、CAPTCHA と IP ブロックリストを他の不正利用防止ツールで補うことが推奨される。
CAPTCHA については、2022/03/10 の「CAPTCHA をつかう理由は何処にある:そろそろ終わりにしよう」を訳したときに、すでに終わっているのかと思いました。しかし、それから1年以上も経った時期に、改めて Trend Micro が取り上げるということには、きっと何らかの意味があるのでしょう。文中にある、Poshmark のインシデントが関連しているのかもしれません。その他にも、2023/01/05 に「Automated Libra という脅威:GitHub CAPTCHA のバイパスで 20,000 アカウントを作成」という記事もありました。CAPTCHA について、再考すべき記事に来ているのだろうと感じます。
IoT OT Security News 
You must be logged in to post a comment.