認証プログラム『CAPTCHA』の突破が以前よりも簡単に

メッセージングおよび Web セキュリティサービスの MessageLabs が10月30日に発表した『Intelligence Report』によれば、新たな自動ツールを利用し、スパム業者が以前にもまして、『CAPTCHA』を破るようになっているという。CAPTCHA とは、人間は解読できるがコンピュータにはできないテストを生成および実行することで、Web サイトを保護する認証プログラムのことだ。

Google の Blog サービス『Blogger』で、悪意のあるコードを含む偽の Blog が作成されたケースもある。

CAPTCHA (「Completely Automated Public Turing test to tell Computers and Humans Apart：コンピュータと人間を区別する完全に自動化された公開チューリングテスト」の略語) は、ユーザーを保護するために、Google やソーシャルネットワークの Facebook をはじめとする多くの Web サイトで使われている。

文字の歪んだテキストの内容を Web フォームに入力するようサイト訪問者に要求する CAPTCHA は、メールの大量送信の障害となる。これにより、サイバー犯罪者がスパムを送信しても、採算がとれなくなる。

だがいま、CAPTCHA が容易に破られるようになり、スパム業者は送信したスパムから多くのレスポンスを得られるようになっている。MessageLabs によれば、スパム業者たちは、Google の Blogger に Blog を掲載して罠にかかったユーザーをみずからのサイトに誘導したり、Apple のオンラインサービス『MobileMe』の偽アカウントを使ってスパムを送ったりしているという。

一方、Apple の MobileMe 広報担当 Khaty Shah 氏が取材に対して述べたところによれば、フィッシングは多くのサービスプロバイダに共通する問題だという。ユーザーはフィッシングから身を守ることができると Shah 氏は述べている。

本稿執筆時点で、Google の広報担当者はこの件について、現在調査中だと説明している。「スパム業者は可能な限りの手段を使って、スパムを送信しようとするものと予想される。Google がきわめて強力なスパム防止対策を実施しているのは、そのためだ。問題のあるアカウントはただちに無効化しており、今後もそれを続けるつもりだ」と Google は述べている。

Shah 氏は、より確実にデータを保護したい MobileMe ユーザーに対し、こちらのページを見るよう勧めている。