AI が CAPTCHA を破ります。人間であることをどうやって証明するのでしょうか?

インターネットを閲覧する以上のことをしている場合（ほとんどの人がそうします）、さまざまな種類の CAPTCHA に遭遇したことがある可能性があります。コンピューターを使用しているのが人間であることを証明するために、非常に不明瞭な文字列を入力する必要があり、音声、数学の問題、画像などの形式の検証コードもあります。チューリングテストに基づく CAPTCHA は 10 年前に登場し、今日まで使用され、広く採用されてきました。

Stans の調査によると、人間が検証コードを認識するのは通常難しく、5 人に 1 人のユーザーは検証コードに遭遇すると Web ページを閉じることを選択するそうです。

当社は、認証コードを入力することでインターネット上のセキュリティを確保できると常に信じてきました。しかし、今日では、人間がそれらの曖昧な検証コードを理解することはますます困難になっていますが、人工知能プログラムはそれらを簡単に処理できます。

ソフトウェア開発者のアンドリュー・マンセル氏は最近、検証コードに深く不満を抱いていると表明するブログ記事を公開した。Google 検証コード システムに誤った検証コードを何度か入力すると、正しい入力でもログインできなくなり、多くのユーザーが検証コードの入力が非常に面倒だと述べた。インターネットでは毎日 2 億 8,000 万件の CAPTCHA が入力されているため、このような経験は珍しいことではありません。

理論上、検証コードはシステムのゲートキーパーの役割を果たします。検証コードは次の 2 つの条件を満たす必要があるためです。

ユーザーは識別シンボルを正しく入力するか、一連の操作を実行して検証を完了することができます。

プログラムはシンボルを認識できず、その一連の操作を実行できません

ネットワークのセキュリティを確保するために、検証コードは、ユーザー登録、コンテキスト メニュー、またはログイン失敗後の再ログインによく使用されます。しかし、一般的にユーザーからは、ウェブサイト上の確認コードは扱いにくいという不満の声が上がっており、入力に何度も失敗すると、ウェブサイトがユーザー ID を凍結し、ユーザーのログインを制限する場合があります。

しかし、人間は正しい検証コードを入力して検証に合格できないことがありますが、システムに脆弱性がない限り、プログラムが検証に合格することは絶対に不可能です。セキュリティ上の目的を達成するため、検証コードは光学文字認識 (OCR) プログラムによって認識されてはならず、ソフトウェアによって検証操作が実行されることはありません。

問題の核心:

まず、スクリプトを識別して CAPTCHA を解読する能力を向上させるための戦略が数多く言及されてきました。たとえば、光学式文字認識 (OCR) は、画像のノイズ除去によって強化され、検証コード画像上の余分な線が削除されます。もう一つのアイデアは、回転、修正、曲げによって画像の特徴的な要素を抽出することです。現代の写真編集ソフトウェアには基本的にこれらの機能が備わっています。キャプチャ画像用の関数ライブラリも登場しており、Amazon Mechanical Turk もその 1 つです。 Death by CAPTCHA などの認証コード認識ソフトウェアも多数あります。凄腕ハッカーたちは音声認証コードの壁も乗り越え、音の波形を分析するだけで音声で放送された番号を知ることができる。

公開されているこれらの技術は、プロのハッカーだけが生み出したものではなく、単に誰かの「趣味」から生まれたものもあります。彼らには必ずしも悪意があるわけではありません。多くのクラッカーはネットワーク セキュリティの問題をより懸念しており、脆弱性を公開することで企業がそれを修正するのに役立ちます。

第二に、最新の CAPTCHA クラッキング手法が登場し、ユーザーはチューリング テストに合格するための操作を実行する必要があります。現在テスト段階にある MotionCAPTCHA プロジェクトなど、非常に簡単な方法もあります。これは、マウス ポインターと電源を追跡およびシミュレートできるタッチ スクリーン デバイスに基づくサービスです。

areyouahuman.com は、「PlayThru」と呼ばれる次世代の検証コードを開発したと主張しています。PlayThru は、検証を完了するためにユーザーが画像認識、推論、マウス操作を実行する必要があるミニゲームに似ています。同社によれば、PlayThruは5層の保護を備えており、これは光学文字認識（OCR）を回避する画期的な進歩となる。従来の検証コードを使用するユーザーは検証操作を完了するのに平均 16 秒かかっていたのに対し、新世代の PlayThru ではユーザーの平均操作時間が 10 ～ 12 秒に短縮されたと報告されています。より安全、より高速、そしてより興味深い、これは検証コードの歴史的な改善です。 PlayThru は Hack A Day で熱く議論され、ハッカーたちはそれを解読しようとし続けました。

ユーザーにアクションの実行を任せるアプローチには致命的な欠陥があります。ソフトウェアがコンピューターの入力デバイスを制御するため、この脆弱性がリモート監視によって悪用される可能性があります。ハッカーは必要な操作手順を分解し、各手順に必要な情報を収集するプログラムを作成します。

ハッカーは人間の思考を模倣できるようにプログラムを改良し続けています。プログラムが認識されないようにするために、すべての検証コードシステム開発者は、検証コードを曲線として表示するように設定します。理論的には、プログラムが湾曲した検証コードを認識できない場合、常にこの形状のままになりますが、ユーザーにとっては少し煩わしいものです。ただし、ユーザー認証の失敗とプログラムの成功の数が増え続けると、認証コードは意味を失ってしまいます。つまり、「人間とコンピューターを自動的に区別するチューリングテスト」は機能しなくなるのです。これはもうすぐ起こります!

ある意味、ハッカーによる認証コードの解読への絶え間ない努力も人工知能の発展を牽引してきました。認証コードが解読されるたびに、人工知能は一歩前進したことを意味します。

近い将来、コンピューターを操作しているのが人間なのかプログラムなのかを証明することは難しくなるでしょう。標準のログイン インターフェースは数年後も有効だと思いますか? LinkedIn や Blizzard などの大企業からハッカーがユーザー情報を盗んだという報告があり、大企業であってもユーザー名/パスワード システムが絶対確実であるとは保証できません。検証には目のスキャンや血液サンプルが必要になるかもしれないが、これらさえもプログラムによって悪用される可能性がある。実際、人工知能の発達により、コンピューターは人間のような思考を持つことが可能になり、ブレードランナーの次の名シーンのように、人間とプログラムを区別することがますます難しくなっています。

心配しないでください。認証コードは時間の無駄です。 Google は確認コードに別の目的を持っています。古い新聞や書籍をデジタル化し、確認コードを使用して多数のユーザーの協力を得て入力プロセスを完了させています。表示される確認コードは単なるスキャンであり、確認コードを入力すると、Google が翻訳プロセスを完了しやすくなります。ハイテク専門家の Buzz は、CAPTCHA の仕組みとその動作方法に関する一連のブログを公開しており、CAPTCHA システムをより簡単に通過するのに役立ちます。