CAPTCHA認証回避で、約3000万ドルもの利益を上げる犯罪者たち ~ マカフィーによる事例報告
エンタープライズ
セキュリティ
注目記事
/
「CAPTCHA」認証では、サイトにデータを送信する際に、画像などの文字を読み取り、それをキーボード入力させる。あえて読みにくい画像を使うことで、人間の介在を必要とするため、ボットなどの無差別なスパム送信・アカウント取得を防ぐというアイデアだ。Yahoo! JAPANやWindows Liveのアカウント取得、Wikipediaのリンク追加書き込みなどでも採用されているし、一般的なブログ書き込みでも、迷惑書き込み防止のため、「CAPTCHA」認証を設置しているものが多い。
McAfee Labsでは、CAPTCHA認証を回避している犯罪者は、現在も増加しているとして、その最新事例を紹介した。米ニュージャージー州ニューアークにある米連邦裁判所が取り扱っている事件では、ボットネット形式のCAPTCHA解読機能付きネットワークを犯罪者が使用したという。彼らはボットネットに取り込んだPCを使用し、人気の高いスポーツや音楽イベントのチケットを販売業者のWebサイトから違法購入。その後チケットwpインターネット上で転売していた。起訴状によると、ブルガリアにいる共犯のプログラマーが、ボットネットを動かす分散ソフトウェアを開発。CAPTCHA認証を数分の1秒でクリアし(人間が入力すると5~10秒かかる)、あっという間に正規の購入手続きへ進み、クレジットカード番号やメールアドレス(ただし偽物)といった購入手続きに必要な情報を漏れなく入力可能とした。
このソフトにより犯罪者は、何千人もの人間になりすまし、人気イベントのチケットを150万枚以上購入し、2890万ドルの利益を得たと見られている。犯人たちのボットネットは全米からPCを集めており、数分で数千枚のチケットを買うことが可能なものだったという。全米大学フットボールの王座を決めるBCSナショナルチャンピオンシップゲーム、イリノイ州シカゴで行われたバーバラ・ストライサンドのコンサート、ニュージャージー州で開かれたハンナ・モンタナのコンサート、ブルース・スプリングスティーンの2008年ツアーなどがその標的となった。ブルース・スプリングスティーンのツアーだけで、約1万1800枚ものチケット購入に成功したとのこと。
オンラインチケット販売業者のみを攻撃対象としたこの事例は、マルウェアを拡散させずに狙いを絞り込む攻撃の一例となっている。マカフィーは、IT管理者は自身が任されているネットワークの監視を怠らず、どんなに小さな事象でも見逃さないことが重要だとしている。
《冨岡晶》
特集
この記事の写真
/
