Digital Arts News Watch

安全なインターネット利用に大きく寄与する「CAPTCHA認証」

普段、会員制のインターネットサービスを利用する際に、ログイン画面でユーザーIDとパスワードだけでなく、「画像として表示されている文字列」の入力を求められたことはないでしょうか？ これは一般的に「画像認証」と呼ばれる認証技術の一種で、人が画像を目で見て確認し、そこに描かれている文字列を読み取って入力することで、ログイン操作を行っているのがコンピュータではなく人間であることを担保するという技術です。

他人のユーザーIDとパスワードを不正利用し、本人になりすましてシステムにアクセスして情報を窃取する「なりすまし攻撃」においては、人間ではなく不正ソフトウェアがログイン操作を行います。そこでは人の目が介在しないため、画像の内容を認識して認証をパスすることができず、結果的になりすまし攻撃は成功しません。

この技術は、標的型攻撃対策として企業の重要な情報資産を守る上でも有効です。画像認証をパスしない限り、業務システムやファイルサーバーへアクセスできないようにしておけば、たとえマルウェアが社内ネットワークへ侵入しても重要データへはアクセスできないため、標的型攻撃の被害を水際で防ぐことができます。

この認証技術は正式には「CAPTCHA認証」と呼ばれ、現在さまざまなWebサイトやアプリケーションで実装が進んでおり、着実に成果を上げています。ただし今さら言うまでもなく、標的型攻撃対策を含めたセキュリティ対策においては、終わりのない「いたちごっこ」が常に繰り広げられています。ある対策技術が登場すると、それを突破するための攻撃手法がすぐに編み出されます。CAPTCHA認証に関しても決して例外ではなく、ログイン画面で提示される画像を認識し、その中に含まれている文字列を自動的に読み取ることができるマルウェアも登場しています。

こうしたマルウェアの高度化に対して、守る側もただ手をこまねいているだけではありません。画像中の文字列を歪めたり、あるいは線をかぶせて一部を隠すなどして、ソフトウェアが読み取りにくくする「難読化」の工夫が日々重ねられています。その結果、現在ではインターネットの安全な利用に欠かせない技術として広く定着しつつあります。

「i-FILTER」のCAPTCHA認証機能で標的型攻撃対策を強化

このようにCAPTCHA認証は、重要な情報資産への不正アクセスを水際でブロックする「出口対策」として極めて有効な手段であり、強固な標的型攻撃対策を実現できます。

マルウェアが窃取した情報を外部のC&Cサーバに送る際には、必ず社内ネットワークからインターネットへの接続を試みます。この際に、CAPTCHA認証をクリアしないとインターネットにアクセスできないようにしておけば、マルウェアはインターネットとの接続を果たせず、結果として情報の流出を社内ネットワークの出口で食い止めることができます。

デジタルアーツのWebセキュリティ製品「i-FILTER」は、企業の社内ネットワークとインターネットとの境界上でプロキシとして動作し、インターネットに出て行くWeb通信、そしてインターネットから入ってくるトラフィックをすべて集中管理し、不正なサイトや利用が禁止されているWebサービスへのアクセスをブロックする「Webフィルタリング」機能を提供しています。これに加えて、プロキシ機能に認証機能を追加することで、企業の標的型攻撃対策に大きく貢献します。

2017年1月にリリースした最新バージョン「i-FILTER」Ver.9.5では、新たにCAPTCHA認証機能が追加されました。この機能によって、画像認証をパスしなければ社内ネットワークからインターネットへアクセスできなくなるため、マルウェアとC&Cサーバとの間の通信を効果的にブロックする標的型攻撃対策（出口対策）を実現できるのです。

「i-FILTER」Ver.9.5の新機能　CAPTCHA認証画面（イメージ）

もちろん、先に挙げた「難読化」にも対応しています。マルウェアに画像中の文字列を容易に読み取られないよう、高度な難読化処理を施した画像が毎回ランダムに表示されるようになっています。ただし、あまりに高度な難読化が施された画像は、ときに人間にとっても読みにくいものになりかねません。そのような問題にも対応するため、「i-FILTER」では難読化のレベルを管理者が任意で設定できるようになっています。

「i-FILTER」にはこのほかにも、IPA監修の「『高度標的型攻撃』対策に向けたシステム設計ガイド」に対応したプロキシ機能が備わっています。詳細は製品ページにてご紹介していますので、本コラムとあわせてぜひご参照ください。
＜「i-FILTER」製品担当：遠藤＞

「i-FILTER」の詳細は製品紹介ページをご確認ください。