The CAPTCHA Project.
「Telling Humans and Computers Apart Automatically at Communication of the ACM, Vol.47, No.2, Feb 2004.
CMUの研究グループが行っている認証技術で「Most humans can pass, but current computer programs can not pass」とある通り,人間ならほとんどの人がパスできるが,現時点でのコンピュータプログラムではパスするのが困難である.という認証方法である.
アイデアは簡単で,文字が含まれている画像をゆがませて,認証画面に提示する.この画像に描かれている文字をパスワードとして入力されるという手法である.人間の任地能力を使えば簡単にできるが,コンピュータでは難しいだろう.という手法である.なおこの研究は別に画像中の文字だけに限ったものではなく,人間の認知能力を使えばほぼすべての人が簡単に処理できるが,現在のコンピュータプログラムでは極めて難しいものであればいいようで,音を応用した研究はすでに着手されており,同様の手法をドメイン管理組織のVeriSignも使っているらしい.ようするに人間にだけ情報を開示したい場合にこの方法を使えばいい.ということだ.このように人間だけに処理を行ってほしい場面が必要になったきっかけはWeb上でのアンケートである.Webを通じたアンケートをしたら,その結果を操作するべく自動的にアンケートを答えるようなプログラムを作成され,結果として得られたアンケート結果は全く意味のないものになってしまった.そこで本当に人間だけがアンケートに答えられるようにする必要性が出てきたのである.これと同様の状況はFree E-mailサービスの登録画面や,Search Engineの情報収集ロボットに情報収集されたくないページへの対応という応用もありうると述べている.またセキュリティらしい応用として,spamや wormへの対応というのが考えられておりhttp://www.spamarrest.com/がすでに研究に着手しているようである.また認証システムへの辞書攻撃やbrute-force攻撃に対する対処法としても明らかに効果が見込めると述べている.確かにおっしゃる通りである
しかし、これを看破する方法として,人間による分散処理でそのような認証画像のキーワードを抽出してもらい,その[画像-キーワード]組の情報を集めるという方法が指摘されている.
The ESP GameというWebがあるが,これはある画像をユーザに見せ,その画像から推測されるキーワードを入力してもらう.これによりなんらかのゲームができるらしい(?)が,問題はこのような手法でCAPTCHA の文字列を集めることができる可能性があるということだ,つまり既存のパスワード認証において,ユーザがよく使うと推測される辞書を作るのと同じことであろうと推測する.このESP Gameがアダルトサイトに設置され「画像を見たければ画像に描かれているも時を入力せよ」と促されたら,誰だって正しい文字列を入力するだろう.
しかし、まぁ〜アイデアとしては非常にシンプルだが、本当に興味深いシステムである. Articleの中に"How lazy cryptographers do AI."とあるが、これはある程度あたっている事実だなと感じると同時に,やはり情報セキュリティは、システムも大事だが、それと同等かそれよりも人間を相手として考えなければいけない研究分野だなと思ったり.
Posted by z at March 9, 2004 02:26 AM