著者
鈴木 徳一郎 山本 匠 西垣 正勝
出版者
情報処理学会
雑誌
研究報告コンピュータセキュリティ(CSEC) (ISSN:09196072)
巻号頁・発行日
vol.2010, no.16, pp.1-8, 2010-02-25
参考文献数
18

近年,CAPTCHA を攻撃する不正者は,CAPTCHA の解読に自動プログラムを使うのではなく,ネット上の一般ユーザを労力として活用するようになってきている.この攻撃は,リレーアタックと呼ばれ,不正者が正規サイトの CAPTCHA 画像をコピーし,不正者自身が運営するサイトに転載することによって,不正者のサイトを訪問する閲覧者に CAPTCHA を解かせている.リレーアタックにおいては,CAPTCHA を不正に (不正だと知らずに) 解読するのは人間であるため,自動プログラムに対するいかなる難読化技術も役に立たない.そこで,本稿は正規サイトへのアクセスを行っている不正者サイトの IP アドレスと CAPTCHA の解答を行っている一般ユーザが操作する PC の IP アドレスの差異を用いたリレーアタック検知方式を提案する.It has been recently reported that malicious users who attack CAPTCHAs are gradually changing their strategy from using automated programs to using human solvers. Such malicious users try to bring net-surfers around the world together by hosting some attractive web site. The malicious web site accesses a victim web site to obtain a CAPTCHA test on the victim site. Then, the malicious site relays the CAPTCHA test to net-surfers who are visiting the malicious web site. The CAPTCHA test will be solved by the net-surfers, and thus the malicious web site can send the CAPTCHA response to the victim site. This is how the malicious web site can use those net-surfers as human resources to solve CPTCHA test on victim web sites. These kinds of attacks are called relay attacks. So far, many researches have studied to improve CAPTCHAs' tolerability against a various attacks conducted by automated programs (malwares). Those countermeasures will, however, not work at all, since the attackers are human beings in the relay attacks. Therefore, we urgently have to tackle the relay attacks. This paper focuses on the difference in PC between the entity who accesses the victim site and the entity who solves the CAPTCHA test under the circumstance relay attacks are conducted. Based on the observation, we propose a relay attack detecting scheme by comparing the IP addresses of the accessing entity with that of the solving entity.
著者
鈴木 徳一郎 山本 匠 西垣 正勝
出版者
情報処理学会
雑誌
研究報告マルチメディア通信と分散処理(DPS) (ISSN:09196072)
巻号頁・発行日
vol.2010, no.16, pp.1-8, 2010-02-25
参考文献数
18

近年,CAPTCHA を攻撃する不正者は,CAPTCHA の解読に自動プログラムを使うのではなく,ネット上の一般ユーザを労力として活用するようになってきている.この攻撃は,リレーアタックと呼ばれ,不正者が正規サイトの CAPTCHA 画像をコピーし,不正者自身が運営するサイトに転載することによって,不正者のサイトを訪問する閲覧者に CAPTCHA を解かせている.リレーアタックにおいては,CAPTCHA を不正に (不正だと知らずに) 解読するのは人間であるため,自動プログラムに対するいかなる難読化技術も役に立たない.そこで,本稿は正規サイトへのアクセスを行っている不正者サイトの IP アドレスと CAPTCHA の解答を行っている一般ユーザが操作する PC の IP アドレスの差異を用いたリレーアタック検知方式を提案する.It has been recently reported that malicious users who attack CAPTCHAs are gradually changing their strategy from using automated programs to using human solvers. Such malicious users try to bring net-surfers around the world together by hosting some attractive web site. The malicious web site accesses a victim web site to obtain a CAPTCHA test on the victim site. Then, the malicious site relays the CAPTCHA test to net-surfers who are visiting the malicious web site. The CAPTCHA test will be solved by the net-surfers, and thus the malicious web site can send the CAPTCHA response to the victim site. This is how the malicious web site can use those net-surfers as human resources to solve CPTCHA test on victim web sites. These kinds of attacks are called relay attacks. So far, many researches have studied to improve CAPTCHAs' tolerability against a various attacks conducted by automated programs (malwares). Those countermeasures will, however, not work at all, since the attackers are human beings in the relay attacks. Therefore, we urgently have to tackle the relay attacks. This paper focuses on the difference in PC between the entity who accesses the victim site and the entity who solves the CAPTCHA test under the circumstance relay attacks are conducted. Based on the observation, we propose a relay attack detecting scheme by comparing the IP addresses of the accessing entity with that of the solving entity.
著者
可児 潤也 鈴木 徳一郎 上原 章敬 山本 匠 西垣 正勝
雑誌
情報処理学会論文誌 (ISSN:18827764)
巻号頁・発行日
vol.54, no.9, pp.2232-2243, 2013-09-15

近年,既存のCAPTCHAにおける脆弱性が多くの研究者によって指摘されており,人間の「より高度な知識処理」を利用してCAPTCHAを強化する方法が検討されている.また,人間である正規ユーザにとって,CAPTCHAに解答することは本来不要の「煩わしい手間」であるため,CAPTCHAの利便性についても考慮しなければならない.そこで本論文では,人間の「ユーモアを解する能力」に注目し,4コマ漫画を用いたCAPTCHA方式を提案する.ユーモアを解する能力は人間の究極的な認知処理能力の1つであると考えられており,高いマルウェア耐性が期待できるとともに,4コマ漫画のエンタテイメント性が「正規ユーザに心地良さを与えるCAPTCHA」の実現に寄与すると考えられる.評価実験およびアンケート調査を通じ,4コマ漫画CAPTCHAの可用性について論ずる.As many researchers have already reported, conventional CAPTCHA could be overcome by state-of-the-art malware since the capabilities of computers are approaching those of humans. Therefore, CAPTCHA should be based on even more advanced human cognitive processing abilities. In addition, it is also important to keep in mind that answering CAPTCHA is an added annoyance for users, who feel troublesome to prove that they are human at every Web access. So, CAPTCHA should be enjoyable for users. To cope with these issues, we have focused on the human ability to understand humor which is considered as one of the most advanced human cognitive processing abilities, and proposed the concept of a new type of Turing test that uses four-panel cartoons, which would make CAPTCHA test fun and enjoyable. This paper carries out experimental study to confirm the usability of the proposed CAPTCHA.