「無料のWebメールサービスのアドレスから送られてくる迷惑メールが増えている」。最近、身の回りでよく耳にします。実際、セキュリティ企業によるブログなどでも、「Gmail」や「Yahoo!メール」などを使った迷惑メールの話題を取り上げる機会が増えています。ネットを流れる迷惑メールを観測している英メッセージラボによれば、出回っている迷惑メールの4%程度が、Webメールサービスから送信されたものだといいます。

 Webメールサービスの悪用が増えている理由の一つは、「画像認証(CAPTCHA:キャプチャ)」を破る仕組みが確立しつつあるためだと考えられます。画像認証とは、画面に表示された文字列画像をユーザーに「解読」させる認証方法です。機械的な読み取りが困難な崩した文字列の画像を表示し、その文字列を入力させることで、Webメールの登録作業を行っているのが「プログラム」ではないことを判定します。

「Gmail」の申し込み画面で表示される「画像認証」の例

 Webメールサービスなどでは、自動化プログラムを使って、アカウントを大量に不正取得する手口が横行していました。攻撃者は、そのアカウントを使って迷惑メールを送信します。有名なメールサービスは多くのユーザーに利用されているので、送信者のアドレス(ドメイン名)から迷惑メールかどうかを判断できません。また、無料で利用できますし、閉鎖されたら別のアカウントに乗り換えればよいだけので、迷惑メールの送信にうってつけのようです。

 そこで、メールサービスを提供する企業では、画像認証を使って、プログラムにアカウントを取得されることを阻止しています。その画像認証が、簡単に破られるようになっているというのです。

 とはいえ、画像認証で表示される文字の「崩れ具合」を見ると、プログラムを使って簡単に破れるようには思えません。セキュリティ企業などの情報では、「OCR(光学文字認識)的な手法を使って、文字列画像を文字列(テキスト)に変換している」といった解説を目にすることがありますが、「本当かな?」というのが正直な感想です。あんなに崩れた文字をプログラムが解読できるものなのでしょうか。

 そんな疑問を払拭する情報を先日読みました。変換しているのが「人間」だということを解説する情報です。その情報によれば、アカウント取得の自動化プログラムは、アカウントの申請画面で表示された文字列画像を取得するだけで、解読はしないとのことです。

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら