RSA Conference 2021で実施された、Web上での攻撃とオンライン詐欺に関するパネルディスカッション。サイバー犯罪の戦術と大規模組織への攻撃に関する調査から見えてきたことについて、議論が交わされました(リンク先は英語)。この中で、法執行機関の元職員であるダン・ウッズ(Dan Woods)氏は、CAPTCHAファームで働いた自らの経験を語りました。大量の業務にわずかな報酬(1日約3ドル)だったそうですが、一番の学びは、CAPTCHAはもはやその目的に適さなくなっているということでした。
一般論として、インターフェイスが人間向けに作られている場合、ボットがそのインターフェイスにアクセスする必要はありません。プログラム間のやりとりは、ユーザーインターフェイスではなくAPIを介して行われます。ボットがユーザーインターフェイスを通じてオンラインのリソースやサービスにアクセスしようとする場合、不正行為の一端と見てほぼ間違いありません。
人間とコンピューターを見分ける技術であるCAPTCHAは、違法ボットとの孤独な闘いを何年も繰り広げてきました。オンラインバンキングシステムやロイヤルティプログラムなど、さまざまなサービスで現在も使用されています。しかし、CAPTCHAは今でも信用できるものなのでしょうか?
クリックファーム
「クリックファーム」はクリック詐欺の一要素で、多くの人を動員してクリック課金制の広告のクリック数を稼いだり、Webページの検索ランキングを上昇させたり、「いいね」、閲覧数、投票数などの指標を水増ししたりする業者です。以前はボットがクリック操作をしていましたが、詐欺対策アルゴリズムの出現によって、本物の人間がこの操作を行うようになりました。
クリックファームの中には、ウッズ氏を雇ったファームのようにCAPTCHAに特化したところもあり、認証で問題が生じてしまうボットに代わって人力でCAPTCHA認証作業を行っています。
CAPTCHAファームでの仕事は、人間にとっては非常に単純だけれども機械にとっては複雑な作業の実行です。消火栓の画像を選んだり、ゆがんで見える文字列を解読したり、とても簡単な演算式を解いたり…。
下の画像はロボットとCAPTCHAの関係を表したものです(これと同じような画像を見たことがある人もいるかもしれません)。
これは、ただのジョークではありません。
CAPTCHAは必要か
CAPTCHAに関しては、利用者から不満が上がっていました。常に何かしらのエラーが発生する可能性があるためです。間違った画像をうっかりクリックしてしまう、背景に埋もれている消火栓を見逃してしまう、文字と数値の羅列が見づらくて文字を見落としてしまうなど、誰にでも一度は経験があるはずです。問題なくクリアできたとしても、CAPTCHAのプロセスは、ユーザーエクスペリエンスの観点から見て好ましいとは言えません。流れがじゃまされて、ユーザーエクスペリエンスが損なわれるためです。
また、CAPTCHAを狙う詐欺師たちが利用する手段はCAPTCHAファーム以外にもあります。例えば、CAPTCHAが出題する問題を解決できるAIを開発しようとしている人は、今でもいます。CAPTCHAのメカニズムは、不完全ではあるものの保護レイヤーが一つ増えることになるので、CAPTCHAの使用は合理的に思われます。ただ、何事もそんなに単純ではありません。
CAPTCHAに代わるもの
CAPTCHAはもはや侵入者を確実に防いでくれるものではなく、本当の利用者をいら立たせてもいます。総合的に考えると、この仕組みを廃止する時期にきているのかもしれません。
システムにアクセスしようとしているのが人間か機械かを自動的に判断する手段は、CAPTCHA以外にもあります。Kaspersky Fraud Preventionには、不要な認証ステップをなくし、シームレスなユーザーエクスペリエンスを生み出す、高度な認証機能があります。
機械学習テクノロジーを搭載した高度な認証機能は、幅広いふるまい分析、受動的な生体認証指標、認証要求送信元のデバイスに関するデータ、環境などを利用して、ログインの許可/追加認証の実施/アクセスの制限を素早く的確に決定。アクセスを試みているのが人間か機械か、正確に判断します。
詳細については、こちらのページをご覧ください。