情報セキュリティマネジメント試験 用語辞典

きゃぷちゃ
CAPTCHA
認証の際に、ゆがめたり一部を隠したりした画像から文字を判読させ入力させることで、人間以外による自動入力を排除する仕組み。主に投稿時の認証目的で利用されている。
人間は多少の歪んだ文字列であれば認識できるが、プログラム処理でこれを読み取ることは非常に困難である。これを利用して、自動プログラムで無差別に投稿するスパム行為や、サーバに負荷が掛かる短時間での連続リクエストの送信を抑制する目的で設置される。
↓ 用語データを見る
分野:
情報セキュリティ
利用者認証
出題歴:
H28年秋期問20 
重要度:
(Wikipedia CAPTCHAより)

CAPTCHA(キャプチャ)は、チャレンジレスポンス型テストの一種で、応答者がコンピュータでないことを確認するために使われる。

ウィキペディアにおいても、ログインしていない状態(匿名)のユーザが外部リンクを追加する際、スパム (メール)の防止のためこの種の認証が用いられる。

この用語はカーネギーメロン大学のルイス・フォン・アン、マヌエル・ブラム、ニコラス・J・ホッパー、IBMのジョン・ラングフォードによって2000年に造られた。CAPTCHA という語は「completely automated public Turing test to tell computers and humans apart」(コンピュータと人間を区別する完全に自動化された公開チューリングテスト)の人為的頭文字である。

認知ソフトウェアに対抗するために難化が繰り返された結果、既に人間の認識が困難になるほど難化しており、本来の目的を果たせていない場合がある(「過剰な難化」の節を参照)。

概要

もっとも一般的な画像によるCAPTCHAの場合、次のように画像に記されている文字や数字を読み取ることができるか否かによって人間と機械を判別する。
  1. CAPTCHA システムは、ランダムな文字や数字の列を画面に表示する。表示される文字は歪んでいたり一部が覆い隠されていたりして、機械が自動的に読み取ることは難しい。
  2. ユーザーは画面に描かれている文字の列を読み取り、同じ文字列をシステムに入力する。
  3. システムが表示した文字列とユーザーが打ち込んだ文字列が一致していれば、ユーザーは歪んだ画像を認識する能力を持っていると考えられる。システムはそのユーザーが人間であると推測する。
  4. システムにアクセスできる人間を日本語使用者に限定したい場合、画像の文字種をひらがな・カタカナに限定する。
  5. 応用として、画像の文字種でアラビア数字のみを入力させる場合、アラビア数字そのものではなく読み方をひらがな・カタカナで表示する(例:123456 → イチ に サン よん ご ロク)。
アラビア数字だと、言語を問わずほとんどの人間が読めるが、ひらがな・カタカナまで読める日本国外人口はそれほど多くないため、日本国外からのアクセスを大幅に抑制できる。

コンピュータがテストを監督することから、人間が監督する標準的なチューリングテストとの対比として、CAPTCHA はときに逆チューリングテストとも呼ばれる。

CAPTCHA は日本語では「画像認証」とも呼ばれている。

起源

CAPTCHA はもともと、1997年にAltaVistaのアンドレイ・ブローダーとその同僚たちによって、ボットが彼らの検索エンジンにURLを追加するのを防ぐために開発された。彼らは画像をOCRによる攻撃に耐えられるようにする方法を探していた。ブラザー工業のスキャナの取扱説明書には、OCRの結果を改善するためには均質な活字面、無地の背景を用いるよう薦められていた。そこで彼らは取扱説明書に「OCR認識の結果を悪くする」と書いてある条件を真似て最初の CAPTCHA を作り出した。ブローダーによれば、CAPTCHA は検索エンジンへのスパム追加を95%削減できたという。

用途

CAPTCHA はボットが種々のコンピュータのサービスを使うのを防ぐために使われる。 応用用途として挙げられることとして、ボットがオンライン投票に参加したり、(後でスパムを送るために使われるかもしれない)無料メールやサービスのアカウントに登録(一人が複数のアカウントに登録)するのを防ぐことなどがある。さらに最近では、ボットが生成するスパムを防ぐために、メールメッセージが配達される前に(未承認の)送り主が CAPTCHA テストの通過を要求することなどがある。

また、CAPTCHA は人間のリソースを使うこととなるが、この労力を「人間であることの確認」以外にも文書の電子化に使うという reCAPTCHA プロジェクトも行われている。

特徴

定義より、CAPTCHA は以下の特徴を持っている:
  • CAPTCHA は自動化されている。テストを管理運用するにあたって人間の介在をほとんど、あるいは全く必要としない。これはテストにおける人間の管理や介入の必要性を避けることができ、コストや信頼性においても明らかに有益である。
  • 使用されるアルゴリズムは多くの場合公開される。ただし、特許によって妨げられるかもしれない。これが規定されているのは、CAPTCHA の突破には、リバースエンジニアリングなどの手法を用いて達成できるような単なる(秘密の)アルゴリズムの発見よりも、人工知能の分野における難問の解決法を要求する、ということが必要なためである。

アクセシビリティ

アクセシビリティ
視覚認識の問題に基づく CAPTCHA は、視覚障害を持ったユーザが保護されたリソースにアクセスする際の妨げとなる。CAPTCHA は機械可読ではないように設計されているので、スクリーンリーダのような支援ツールでも解釈できない。

しかし、CAPTCHA が視覚的である必要はない。 例えば音声認識のように、人工知能によって解くのが困難な問題であれば、CAPTCHA として使うことができる。ユーザが音声認識問題を選択できるような CAPTCHA の実装もある。しかしながら、音声(聴覚)CAPTCHA の開発は画像(視覚)CAPTCHA よりも後れを取っており、あまり普及はしていない。また、テキストの意味を理解させるような問題も CAPTCHA として用いることができる。例えば、論理パズルや常識・計算問題などである。

W3Cによる論文では CAPTCHA のアクセシビリティ上の問題点がいくつか示されている。

回避策

CAPTCHA を回避するために、囮ウェブサイトでユーザを集め、彼らを騙して CAPTCHA の問題を解かせるという手法がとられることがある。

ユーザがスパマーの開設した囮ウェブサイトを訪れると、スパマーのサーバーは攻撃対象のサーバーにアクセスし、アカウント取得等の処理を開始する。そして攻撃対象の CAPTCHA をダウンロードし、囮ウェブサイトにアクセスするための CAPTCHA としてユーザに提示する。ユーザは、CAPTCHA が再利用されるとは知らずに、正しい回答を提供する。そしてスパマーはその回答を利用し、攻撃対象の CAPTCHA を突破することができる。

また、大量の人員を雇い、彼らに解かせるという手法もある。W3Cの論文。

MoriらはIEEE CVPR'03において、最も有名な CAPTCHA の一つであるEZ-Gimpyを突破する手法を詳述した論文を発表し、その手法は92%の確率で突破可能であると検証された。また、より複雑であまり広く普及していないGimpyプログラムが、同じ手法により33%の確率で突破された。しかし、彼らのアルゴリズムが実際に実装され、利用されているかどうかについては、現時点でははっきりしていない。

機械による解読も巧妙になってきている。のようなプロジェクトによって、広く普及していた CAPTCHA の解読精度が目覚ましく進歩し、結果として CAPTCHA を過剰に難化させることとなった。

文字認識技術や囮ウェブサイトによらず、既知の CAPTCHA 画像のセッションIDを再利用するという手法もある。

過剰な難化

視力に問題のない人にとってさえ、知能化が進む認知ソフトウェアに対抗して設計された新世代の CAPTCHA は解くことが著しく困難である。すでに無視できないほどの人数の認識能力を上回っており、結果として人間の応答すら遮断してしまっている。

CAPTCHA を認識できなかった人々は応答を諦めているものと考えられ、そのような人々にとって過剰な難化した CAPTCHA は単なる障害でしかない。

出題例

人間には読み取ることが可能でも,プログラムでは読み取ることが難しいという差異を利用して,ゆがめたり一部を隠したりした画像から文字を判読して入力させることによって,プログラムによる自動入力を排除するための技術はどれか。

[出典]情報セキュリティマネジメント 平成28年秋期 問20

  • CAPTCHA
  • QRコード
  • 短縮URL
  • トラックバックping
正解 

「利用者認証」の用語

「情報セキュリティ」の他の分野

「セキュリティ」の他のカテゴリ

このページのWikipediaよりの記事は、ウィキペディアの「CAPTCHA」(改訂履歴)の記事を複製、再配布したものにあたり、このページ内の該当部分はクリエイティブ・コモンズ 表示 - 継承 3.0 非移植 ライセンスの下 に提供されています。


Pagetop