またも破られたマイクロソフトの画像認証、Live IDを不正取得される[09/02/17]
1 :すあまψ ★:
セキュリティ企業の米ウェブセンスは2009年2月15日、マイクロソフトが提供するオンラインサービス
「Windows Live」のアカウント(Windows Live ID)が不正に取得され、迷惑メールの送信などに悪用されていることを報告した。
同サービスでは、不正取得を防ぐ「画像認証」をこれまでに3回強化しているが、そのたびに破られているという(図)。
画像認証とは、画面に表示された文字列画像をユーザーに“解読”させる認証方法。CAPTCHA(キャプチャ)などとも呼ばれる。
機械的な読み取りが困難な崩れた文字列の画像を表示し、
その文字列を入力させることで、作業を行っているのが人間かどうかを判断する。
Windows Liveのようなオンラインサービスでは、プログラムによるアカウントの不正取得を防ぐために、画像認証を導入している。
ところが近年、多数のボット感染パソコン(ボットネット)を使って画像認証を破り、アカウントを取得する攻撃が相次いでいる。
アカウントを取得するボットは、まず、新規アカウントの登録サイトへアクセスし、アカウントを申請。
そのとき表示された文字列画像を取得し、攻撃者のコンピューターに送信。それに対応する文字列が送られてくるのを待つ。
攻撃者側では、何らかの方法で画像を解読して送信。ボットは送られてきた文字列を使って、アカウントの登録手続きを継続する。
なお今回のウェブセンスの報告では、文字列画像の解読方法については言及していない。
同社をはじめとするセキュリティ企業の過去の報告では、人手で解読する方法や、
OCR(光学文字認識)のようなプログラムを使う方法などが紹介されている。
(続きはソースでご確認ください)
http://itpro.nikkeibp.co.jp/article/NEWS/20090217/324922/
「Windows Live」のアカウント(Windows Live ID)が不正に取得され、迷惑メールの送信などに悪用されていることを報告した。
同サービスでは、不正取得を防ぐ「画像認証」をこれまでに3回強化しているが、そのたびに破られているという(図)。
画像認証とは、画面に表示された文字列画像をユーザーに“解読”させる認証方法。CAPTCHA(キャプチャ)などとも呼ばれる。
機械的な読み取りが困難な崩れた文字列の画像を表示し、
その文字列を入力させることで、作業を行っているのが人間かどうかを判断する。
Windows Liveのようなオンラインサービスでは、プログラムによるアカウントの不正取得を防ぐために、画像認証を導入している。
ところが近年、多数のボット感染パソコン(ボットネット)を使って画像認証を破り、アカウントを取得する攻撃が相次いでいる。
アカウントを取得するボットは、まず、新規アカウントの登録サイトへアクセスし、アカウントを申請。
そのとき表示された文字列画像を取得し、攻撃者のコンピューターに送信。それに対応する文字列が送られてくるのを待つ。
攻撃者側では、何らかの方法で画像を解読して送信。ボットは送られてきた文字列を使って、アカウントの登録手続きを継続する。
なお今回のウェブセンスの報告では、文字列画像の解読方法については言及していない。
同社をはじめとするセキュリティ企業の過去の報告では、人手で解読する方法や、
OCR(光学文字認識)のようなプログラムを使う方法などが紹介されている。
(続きはソースでご確認ください)
http://itpro.nikkeibp.co.jp/article/NEWS/20090217/324922/
|
|
|
2 :ただいま名無し変更議論中@詳しくは自治スレへ:2009/02/17(火) 22:56:18 ID:???
何らかの方法もなにも人が目で見れば一発だよ
人にも読めないくらい読み難くするか?
人にも読めないくらい読み難くするか?
3 :ただいま名無し変更議論中@詳しくは自治スレへ:2009/02/17(火) 23:19:46 ID:???
なぞなぞを人間に解かせて認証すればいいじゃない
4 :ただいま名無し変更議論中@詳しくは自治スレへ:2009/02/18(水) 07:13:03 ID:???
そりゃほかのサイトと違って破ろうとしてる人数がケタ違いだからだろ
画像解析するならMSのをやってやろうと思うじゃねーか
画像解析するならMSのをやってやろうと思うじゃねーか
5 :ただいま名無し変更議論中@詳しくは自治スレへ:2009/02/18(水) 09:31:32 ID:Na2cMuve
猫認証だとか色んなのあったよな
流行りもので中川認証なんてどう?
呑んでるか呑んでいないか
流行りもので中川認証なんてどう?
呑んでるか呑んでいないか
6 :ただいま名無し変更議論中@詳しくは自治スレへ:2009/02/18(水) 10:35:31 ID:???
まあねぇ。文字認識といったって
アルファベット26文字、大文字小文字区別で52文字。
数字入れて62文字。この程度だからねぇ
アルファベットは形が単純だから人間が判読できるのなら
判読するのはそう難しく無いだろうね。
アルファベット26文字、大文字小文字区別で52文字。
数字入れて62文字。この程度だからねぇ
アルファベットは形が単純だから人間が判読できるのなら
判読するのはそう難しく無いだろうね。
7 :ただいま名無し変更議論中@詳しくは自治スレへ:2009/02/18(水) 17:06:06 ID:???
Googleもやぶられてたしな
8 :ただいま名無し変更議論中@詳しくは自治スレへ:2009/02/18(水) 19:44:56 ID:???
たぶん無駄な事しないよ
人が見れば普通に読めるんだから
ボットから画像が送られてきたらそれ見てコードを返信するだけでいい
人が見れば普通に読めるんだから
ボットから画像が送られてきたらそれ見てコードを返信するだけでいい
9 :ただいま名無し変更議論中@詳しくは自治スレへ:2009/02/18(水) 23:38:21 ID:bznSiZHA
まあ、PCの性能が上がれば 解読度もアップするよ。
そのうち銀行のシステムも全部解読されそうだな。
IDとパスワード制もそろそろ限界にきてるのかね
そのうち銀行のシステムも全部解読されそうだな。
IDとパスワード制もそろそろ限界にきてるのかね
10 :ただいま名無し変更議論中@詳しくは自治スレへ:2009/02/18(水) 23:58:56 ID:UNxTV/3T
これでなんて書いてあるのかますます読めない画像認証になるんだろうな
11 :ただいま名無し変更議論中@詳しくは自治スレへ:2009/02/19(木) 08:28:17 ID:???
これを機に漢字を取り入れてみるとか。
12 :ただいま名無し変更議論中@詳しくは自治スレへ:2009/02/19(木) 10:03:54 ID:???
ていうか最近マジ読めなくなってる
13 :ただいま名無し変更議論中@詳しくは自治スレへ:2009/02/19(木) 12:39:40 ID:???
ハックの仕方、しっかり記事に書いてあるな。
1、書いてある画像認証の画像を記憶。(MD5とか?)
2、人の目で確認、解読。
3、1と同じ画像が出るまで待ち、2を入力するスクリプトを組む。
また、アカウント登録手続き用のスクリプトも同様に組む。
4、3をばら撒き、大量にアドレスを取得する
1、書いてある画像認証の画像を記憶。(MD5とか?)
2、人の目で確認、解読。
3、1と同じ画像が出るまで待ち、2を入力するスクリプトを組む。
また、アカウント登録手続き用のスクリプトも同様に組む。
4、3をばら撒き、大量にアドレスを取得する
14 :ただいま名無し変更議論中@詳しくは自治スレへ:2009/02/19(木) 17:02:44 ID:???
人の目で確認というのがなんだか可愛く思えてきた
15 :ただいま名無し変更議論中@詳しくは自治スレへ:2009/02/19(木) 21:26:21 ID:wf9wj6l2
>>13
同じ画像を使い回してるわけじゃないから、その方法はあり得ないよ
同じ画像を使い回してるわけじゃないから、その方法はあり得ないよ
16 :ただいま名無し変更議論中@詳しくは自治スレへ:2009/02/21(土) 01:28:48 ID:iiFUQG5a
ハックの技術そのものは全然高くないよ。
WEBCAMとプログラミングが少しできればそれでいい。
たとえばアルファベットなら区画を16に分けて、
後は適当に画像を拾ってきて手書きのアルファベットを、
どんどん取り込んでいき、
何に該当するかを最初の数十枚手動で入力して、
そこからスクリプトでまた数十枚カウントする。
そこでOKならその文字のポイントをあげて、違うなら正しいアルファベットを入力。
それを繰り返すだけで、もう数パターンに絞り込める。
区分けに関してはオープンソースでベイズ理論を利用しているソフトから、
ベイズ理論部分をそのままぱくるだけでも十分な制度になる。
あとは、自分でアルファベットといくつかの記号のバケットを作ってやればいいだけ。
このほうほうだとひらがなや漢字は苦しいが、
アルファベットなら筆記体でも問題なかった。
ただひらがなでも苦しいのは学習の部分なので、
この辺りに時間をかけるのを惜しまない人であれば、結局は体力勝負。
感じだって、判定と修正が多くなるだけで最終的に体力勝負なのはかわらない。
WEBCAMとプログラミングが少しできればそれでいい。
たとえばアルファベットなら区画を16に分けて、
後は適当に画像を拾ってきて手書きのアルファベットを、
どんどん取り込んでいき、
何に該当するかを最初の数十枚手動で入力して、
そこからスクリプトでまた数十枚カウントする。
そこでOKならその文字のポイントをあげて、違うなら正しいアルファベットを入力。
それを繰り返すだけで、もう数パターンに絞り込める。
区分けに関してはオープンソースでベイズ理論を利用しているソフトから、
ベイズ理論部分をそのままぱくるだけでも十分な制度になる。
あとは、自分でアルファベットといくつかの記号のバケットを作ってやればいいだけ。
このほうほうだとひらがなや漢字は苦しいが、
アルファベットなら筆記体でも問題なかった。
ただひらがなでも苦しいのは学習の部分なので、
この辺りに時間をかけるのを惜しまない人であれば、結局は体力勝負。
感じだって、判定と修正が多くなるだけで最終的に体力勝負なのはかわらない。
17 :ただいま名無し変更議論中@詳しくは自治スレへ:2009/02/21(土) 02:54:37 ID:gdI+4S++
ボットに感染した時点でやりたい放題かと