CAPTCHA破り対策も効果なし、Hotmailで繰り返される攻撃
MicrosoftがWebメールサービスLive Hotmailでアカウントの不正登録を防ぐために変更を施したCAPTCHAシステムが、再びスパマーに破られていると、セキュリティ企業のWebsenseが伝えた。 CAPTCHAは、相手が人間かどうかを見分けるために各種Webサイトが導入している変形文字。Websenseによれば、Microsoftはボットやコンピュータプログラムによってアカウントが自動的に登録されるのを防ぐため、2008年にCAPTCHAに変更を加えた。しかし、今回判明した攻撃でそれが徒労に終わったことが分かったという。 Microsoftが悪用を防ごうとCAPTCHAに手を加えるたびに、スパマーはそれに対応する。CAPTCHAを破ってメールアカウントを登録し、大量にスパムメールなどを送ってユーザーのマシンをマルウェアに感染させ、情報を盗み出しているという。 CAPTCHA
CAPTCHA認証破りへの対抗策
情報源がどこだったか忘れてしまったが、CAPTCHA認証をパターン認識技術で破り、フリーメールアカウントを多数取ってスパム送信に使うという手口が現れたらしい。30%以上の確率でCAPTCHA認証を突破できるくらいになっているそうである。 よく使われているCAPTCHA認証は、ゆがんだ文字と汚れた背景の画像から文字を読み取らせるものであるが、パターン認識技術が進歩すれば、機械的に読み取れる確率は上がってくる。 そこで、こんなCAPTCHA認証はどうだろうか。 画像とその説明の言葉の組をたくさん用意しておく。 「王冠をかぶった女性」 「ネクタイをした男性」 「眠っている猫」 「リボンを付けた猫」 「炎が左になびいているろうそく」 「吹き消されたばかりのろうそく」 「前がつぶれた乗用車」 「横転した乗用車」 といった具合である。そして、数十個の画像を表示し、説明の言葉を数個表示して、該当する画像
CAPTCHAよりも優れた日本向けスパム対策
これから入会するユーザーにとって、もっともイライラさせられるシステムの一つが、「ユーザー登録時のCAPTCHA文字入力」。 例えば、とあるSNSへの新規登録時には、以下のような読みにくい文字を確認文字として入力しなければいけません。(*1) 人間にとっては、「読みにくくて打ちにくい」とても困ったシステムです。 しかも、最近ではコンピュータの解析能力が進化して、機械的に読み取られ、スパム対策にもなっていないという話もあります。 CAPTCHAは、スパム対策のために「外国で作られたシステム」であるため、その対策方法も広範に知れ渡っています。 半角英数字しか使っていないシステムがほとんどのせいで、破るための理論が実装されるのも仕方ないことかもしれません。 でも、日本でしか使わないシステムなら、日本用のスパム対策をすることで簡単にスパムを防ぐことができます。 どうするかというと、それはとても簡単で
CAPTCHAは愚策:江島健太郎 / Kenn's Clairvoyance - CNET Japan
最近ようやく初級プログラマーを卒業できた手応えのようなものを感じており、いよいよコードを読み書きするのが楽しくてしょうがない段階になってまいりました。 こういうとき、Rubyは初心者にもやさしいけど、上達すればどこまでも上のステージが用意されているような、まるで自然言語のようななめらかさ・しなやかさがあって、ほれぼれとします。デザインの美しいものに触れているときには人間はこんなにも幸せになれるのか、という感じですね。ときに、今回のブログネタは、デザインの悪いものに出会うとこんなにも気分が悪くなるのか、という話なのですが。 なお、新プロジェクトではデザイナーのクリスの勧めでHamlを使うことにしたり、アーキテクトのダニーの設計でJavascriptにPublish-Subscribe型の(つまり一対多の)コールバックのフレームワークを作ってみたり、ReallySimpleHistoryを使い
GmailのCAPTCHAが破られている | スラド セキュリティ
ストーリー by nabeshin 2008年02月29日 11時59分 hotmailやYahoo同様にGmailもデフォルト拒否のサービスが増えてしまうか 部門より 本家ストーリーより。WebsenseによるとGmailのCAPTCHAが破られ、成功率2割でボットがアカウントを作っているとのこと。Websenseのレポートに詳細が載っているが、それによるとボットネット内の2つのコンピュータを組み合わせて処理が行われている模様。第二のホストの役割は、第一のホストが失敗した場合のバックアップか、もしくは何らかの精度チェックをしている可能性があるとのこと。さらに、ボットはCAPTCHAを解読している間ヘルプを読むふりをしてタイムアウトを防いでいるという。
変形文字「CAPTCHA」はもう無意味?
Webサービスの認証などに利用される変形文字のCAPTCHAはユーザーの妨げになるだけで、不正アカウント取得を防ぐ役には立たなくなったのか。 Webサービスでアカウントの不正取得を防ぐために使われている変形文字の「CAPTCHA」は、もう役に立たなくなっている――。人気WebメールのCAPTCHAを破るボットの相次ぐ登場を受け、セキュリティ研究者がこう指摘した。 セキュリティ企業のWebsenseは先に、米Microsoftの無料Webメール「Windows Live Mail」のCAPTCHAを破るボットが出現したと報告。続いてGoogleのGmailのCAPTCHAも破られたと伝えている。 IBM傘下のセキュリティ企業Internet Security Systems(ISS)のガンター・オルマン氏は2月25日のブログでこうした現状について紹介。CAPTCHAはかつてはいいアイデアだっ
CAPTCHA破りサービス登場? | スラド セキュリティ
ストーリー by nabeshin 2008年02月08日 16時11分 毛をちらばせるだけでなく、もっとぐにょぐにょに 部門より ITmediaの記事によると、「Live Mailのキャプチャを破るボットが登場、不正アカウントを大量取得」とのこと。「スパマーが開発したボットがCAPTCHAを解読している」と書かれているが、読み進むと「(ボットは)CAPTCHAの変形文字を入力するところまで来ると、CAPTCHA破りサービスに画像を送って読み取らせ、テキストを受け取る仕組みになっている。」とあるので、ボットが直接解読しているわけではないようだ。 タレコミ人としては、この「CAPTCHA破りサービス」がどのようなものか気になるが、OCRソフトのような物でノイズを消去しているのだろうか。3回に1回程度の成功率ということである。
CAPTCHA認証破りの手口
McAfee Avert Labs Blog 「The Captcha Challenge」より November 1, 2007 Posted by Tad Heppner Webサイトの多くは,ユーザー・アカウント作成やコンテンツ投稿,その他Webサイトのサービスを自動処理で乱用する企てを,CAPTCHA(Completely Automated Public Turing Test To Tell Computers and Humans Apart)と呼ばれるチャレンジ・レスポンス方式の認証技術で阻止している。 一般的なCAPTCHAはたいていの場合,人間なら簡単に理解できるが,現在のコンピュータOCRや画像認識システムだと極めて識別の難しい状態に歪ませた文字やテキスト,画像を生成し,認証を行う。 考察にソーシャル・エンジニアリングを加えよう。CAPTCHAは,“チャレンジ”に対す
はてなのCAPTCHAは簡単に破れる
CAPTCHAをご存知でしょうか。 スパム防止のために歪んだ文字とかを入力させる、アレのことなのですが、 はてなのCAPTCHAの強度が妙に低く思えたので検証してみました。 CAPTCHAというのはいわゆる逆チューリングテストという奴で、 人間には可能だが機械には処理しにくいことをさせることで、 ロボットによる操作を弾こうというものです。 たとえば、Gmailのユーザ登録には以下のような画像が表示され、 表示されている文字を入力することが求められます。 CAPTCHAの強度 例えばスパムを送るために大量のGmailアカウントを得ようとしてる人がいたとします。 手作業でGmailを登録するのは骨が折れる。 そこでプログラムによる機械化を試みることになるわけです。 その際、障壁となるのがこのCAPTCHAなのです。 この画像から正解である文字列"vittac"を得ることは機械には難しい。 プロ
スパムお断り、reCaptcha 導入
ここ最近、コメントスパムの数が多くなってきてしまって困ったことになっていました。ブログの管理は一日に一度か二度にまとめてやるのですが、その都度何百というスパムがたまっています。ほとんどは WordPress のスパムフィルー多にひっかかって自動的に振り分けられるのでいいのですが、それでも false positive がないか、すべてに目を通すのは面倒でした。 しまいには「キャプチャってなんだか知ってるかい? スパムを止められるぜ」というコメントが書かれたリンクスパムも届くようになり、つい「いい根性だ、導入してやろうじゃないか!」と勢いで reCaptcha を入れてしまいました。 reCaptcha はコメントを書き込もうとしているのがスクリプトではなくて、人間であることを判別させる CAPTCHA 画像を挿入してくれるのですが、その画像はOCR で読み込まれた Internet Arc
CAPTCHAをお金で…
エレクトロニック・サービス・イニシアチブのWebシステムのコンサルタントのブログです。Webシステムを対象としたセキュアコーディング/セキュアプログラミング、SAMM、ソースコード検査、Webシステム開発、パフォーマンスチューニングの技術支援、コンサルティング、セミナー開催、書籍などの執筆、PROVE for PHPの開発、PHP4.x/5.xレガシーPHPセキュリティパッチサービスなどを行っています。 ブログのサブタイトルを「書かない日記」としているのは、ブログを始めた時にあまり書かないつもりで始めたのでこのサブタイトルになっています。 氏名:大垣 靖男 私が記述したブログ中のコードは記載が無い場合はMITライセンスです。その他のコードは参考リンクなどのライセンス情報を参照ください。 ご依頼・ご相談は info@es-i.jp まで。
おさかなラボ - 人間様には見えなくて、spamボットには見える不思議なCAPTCHA
それは偶然発見した。なんとGmailのパスワード入力画面にもちゃんと歪んだ画像CAPTCHAが実装されているのだ。しかもほとんどのボットに見え、ほとんどの人間に見えないCAPTCHAである。ちょっとした工夫でCAPTCHAの欠点を補い、利点を生かしているのだ。見つけた時、思わず拍手してしまった。 事の始まりはこうだ。さっき、Gmailにログインしようとしたら、以下のようなエラーが出た。 平凡なエラーだ。しかしまずいことに、2度目、3度目も間違えた。そこでふと「Gmailは何回くらいでアカウントがロックされるんだろう」という疑問が湧いた。そもそも自分には、ブルートフォースアタックに対抗するにはアカウントロックしかないと考えていた。 するとなんと、10回目のミスで、次の画面が現れたのだ。 アカウントがロックされる代わりに、突然CAPTCHAが現れた。 つまりこうだ。パスワードを10回
OBB vs AABB - Radium Software Development
iPhoneの一般修理店は予約なしでも来店できる? 基本的には飛び込みで修理に行ってもOK iPhoneを置いていたソファにうっかりと腰かけてしまい、パネルを割ってしまった、こんな時はスマホの一般修理店へ行きましょう。画面割れは、スマホやタブレットの故障原因として非常に多いものです。予約なしで突然お店に行っても平気かしらと、不安に思う方々もいらっしゃるかもしれません。結論としては特に問題はなく、予約なしで訪問しても画面割れの修理はお願いできます。 ただし他のサービス業のお店同様、予約なしの場合、お店が混雑していると順番待ちをしなければいけないです。特に繁盛しているスマホ修理のお店だと、行列が店内で出来ており、予約なしだと、自分の順番が巡ってくるまで長時間待たされる可能性があります。平日の朝、昼なら利用客が少ない場合が多く、飛び込みでも比較スムーズに修理が頼めます。 予約は入れた方が時短に、
Captcha Plugin 0.11a公開 - Ogawa::Memoranda
Posted by: Hirotaka Ogawa @ October 06, 2006 03:39 PM | CAPTCHA™テストを使った簡単なアンチコメントスパムプラグイン(Captcha Plugin公開 - Ogawa::Memoranda)をアップデートしました。 Captcha Plugin.ja JP - Ogawa Code Captcha Plugin - Ogawa Code 最初に公開した時点ではプロトタイプ的なものでしかありませんでしたが、今回はなるべく柔軟に使用できるように以下の拡張をしました。 ブログごとにCAPTCHAテストの有効・無効を選択できるようになりました。 CAPTCHAテスト文字列の長さを変更できるようにしました。 CAPTCHA 画像の格納先ディレクトリをユーザが指定できるようにしました。いくつかのWebホスティングサービスではCGIスクリプ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Googleが「CAPTCHA」を改良、リスク分析により人間と機械を区別 
yebo blog: GmailのCAPTCHAが破られ、Spamが増加中
CAPTCHAよりすぐれたスパム対策 (でぃべろっぱーず・さいど)
http://japan.internet.com/webtech/20071023/10.html