Googleの音声CAPTCHAも破られる 34
ストーリー by nabeshin
音の揺らぎはどう作る? 部門より
音の揺らぎはどう作る? 部門より
hiromichi-m 曰く、
以前GmailのCAPTCHAが破られたことが話題になった(/.の記事)が、Googleが視覚障害者向けに通常のCAPTCHAの代わりに提供している「音声CAPTCHA」も、高い確率で機械的に突破できることが実証されたそうだ(実証者のブログ記事)。音声CAPTCHAは、その名のとおり音声でランダムな数字を流し、それを入力させることでボットによる機械的なアカウント作成を防ぐものだ。数字を読み上げる裏ではランダムな音声も同時に流されるものの、数字の発音パターンは常に同じであるため、簡単な処理で機械的に読み上げられた数字を解析できてしまうそうだ。通常のCAPTCHAは、20%程度の割合でしか突破できないが、ブログで紹介されているFFTなどを用いた解析手法を用いれば90%程度の割合でCAPTCHAを突破できるとのことで、Googleだけでなく同様の音声CAPTCHAを使用しているWebサイトは早急に改善が必要だ、としている。
程度問題では? (スコア:3, 興味深い)
を用意してなのか存じませんが。そんなに気にする事ですかね?
ネットゲームを見れば判るように、やろうと思えば人件費の安い国で人動員してやればどんな制限
も超えられちゃう訳ですから、そこまでやろうという相手をあまり気にする必要は無いんでは?キャ
プチャなんて軽いハードルなんですから、ハンディキャップのある人の不便を増してまで対応する
意味は無いと思います。
音声キャプチャの強化なんかより、不正っぽいアカウントの監視でもした方が合理的なんじゃないかと。
Re:程度問題では? (スコア:3, おもしろおかしい)
論理の階層が違うと思うのです。
運用じゃなくて、技術の話なのです。
不正なアカウント作成対策に、人間と機械を識別する必要が生じた。(運用の話)
そのため、人間と機械を識別できるような技術を開発した。(技術の話)
それに対抗して、機械でもその関門を突破できる技術を開発した。(技術の話)
それをどう使って悪さをされるか・するかは知らないが、改善は必要じゃないかい?(運用の話)
という四角形の流れになってるのね。
暗号技術と同じです。
「運用」とは並行して「技術」の世界があって、「技術」の世界で
「これならどうだ!」
「普通に破ったぞ。」
「いやいやまだまだ。」
「それも突破できたもーん♪」
「解き方はわかっても実用時間で解くことはできまい。」
「計算能力の進歩を忘れていたようですな。」
「ふっ、切り札は最後まで取っておくものさ。」
みたいに、いちゃいちゃとやってるのです。
そうして技術は発展していくのです。
Re:程度問題では? (スコア:1)
ブラックマーケットで10000アカウント分入力したら100円くらいとか専用のソフトで
送られたものを理解して入力するバイトがあるらしい。中東あたりで募集が合ったらしいよ。
かなりやる人が増えて手間賃がガンガン下がったらしい。
…読んだ記憶はあるのにどこのサイトか忘れた。
Re: (スコア:0)
人か機械かと判断する手順を目の不自由な人に適用しようとした時、視覚に頼ったCAPTCHAを
ただ聴覚頼りに移しただけだったって事自体が、技術者の怠慢なんじゃないですかね。
読み取りにくくするもやもや→雑音
意味の無いデタラメな文字列の表示→意味の無いデタラメな文字列を読み上げる音声
CAPTCHAをそのまま移植しようとした以上の考えた跡が見当たらないですよ。
もっと目の見えない人に特化した認証、機械や健常者には難しい事ってのがあるんじゃ
ないでしょうか?
Re:程度問題では? (スコア:2, すばらしい洞察)
実際にスピーカーから音を出す必要もマイクで拾う必要もありません。
送られてくる音声データを解析するだけの話なので、設備なんて回線と PC だけあれば十分。
ボットネットで分散処理できない理由もないし、気にしないわけにはいかないでしょう。
Re:程度問題では? (スコア:1, すばらしい洞察)
「あそこのサービスは不正アカウントの作成に対して何も対処を行ってない」
と言われたくないでそ。
Re:程度問題では? (スコア:1)
>合理的なんじゃないかと。
音声CAPTCHAを強化云々がどれだけ効果あるか疑問というのはおいとくとしても、
アカウント取得の際のチェックを強化することはGoogleにとっては必要でしょう。
そして不正アカウントのチェックは言われずとも当然しているでしょう。
だからこそ、「不正なアカウント取得プログラムが90%の割合で音声CAPTCHAを
突破できている」という結果が分かるわけで。
Re:程度問題では? (スコア:1)
違う。「90%で突破できる」としているのはGoogleではなく外部の人間。
そしてそこでテストしているのは「音声CAPTCHAの突破」までであって、「不正アカウントの取得」については可能性を示しているに過ぎない。
ちゃんと記事を読みましょうよ。
うじゃうじゃ
Re:程度問題では? (スコア:1)
でもGoogle内部で不正アカウントの調査を全くしてないとは思えないんだけど
実際どうなんでしょうか。
やっててもまるで追いつかないということなのかな。
Re: (スコア:0)
#ありうるのは、対策後に「従来に比べn%不正されにくくなりました」とか?
Re: (スコア:0)
一回expireされたアカウント名は二度と使えなくなるわけで、
もしかしたらふつーの人が使いたいアカウント名が、使えなくなるかもしれない。
Re: (スコア:0)
ほぼ、これ [hatena.ne.jp]でいけると思います。
きれいなもんだ(笑
根拠はないけど (スコア:1)
旅に出ます.(バグを)探さないで下さい.
Re:根拠はないけど (スコア:1)
以下、代表的なフレーズ (スコア:1, おもしろおかしい)
Re: (スコア:0)
それなら鏡音リンを (スコア:0)
Re:それなら鏡音リンを (スコア:1, 興味深い)
Re:それなら鏡音リンを (スコア:1)
・・・両方とも『ちち』になるのか・・・
# 『なな』で解決じゃね?
Re:それなら鏡音リンを (スコア:2, 参考になる)
実例として、京都市交通局は「ななじょう」と読んで解決としてますね。
# ただしくは「しちじょう」の模様 [wikipedia.org]
Re:それなら鏡音リンを (スコア:1, 参考になる)
七味唐辛子に"Nanami Togarashi"と書かれている。
…という実例もありますね。
Re:それなら鏡音リンを (スコア:1)
ひと、ふた、さん、よん、ご、ろく、なな、はち、きゅう、じゅう
と発音して聴き間違いが無いように工夫してます。安いAMラジオだと余計分かりづらいみたいで。
# 幼少の頃は、学校で習う発音と違うので何かの専門用語かとわくわくしたのもいい思い出。
Re:それなら鏡音リンを (スコア:1)
# 今の自衛隊では、点呼の時なんかは、「いち、に、さん~しち(なな?)、はち、きゅう、じゅう」でしたよね。
# まぁ、"文脈"から1と7を間違えることはないんでしょうけど、ちょっと意外。
# 本当に間違えちゃいけないところでは、「アルファーのA」とか使うのか?
聞くは一時の恥。聞いたら一生の恥?
Re: (スコア:0)
さっきぃにあやまれ!
じゃ、これもネコ認証で (スコア:1, おもしろおかしい)
Re:じゃ、これもネコ認証で (スコア:1)
イチ、ニィ、サァァーーン、、、、
アホになってるのは何番目ですか?
じゃ、これもがてs認証で (スコア:0)
究極的には (スコア:1)
脳でも繋がないと認証通らないようにしますか?
なにやっても無駄なのかな? (スコア:0)
入力間隔は人の手かプログラムか
チェックするのが一番確実な気がしてきました
人海戦術取られるとだめだけど
#マウスの動きがランダムか否かを解析するスクリプトならあったような気もする
#ちゃんとやるとユーザーにプログラムのインストールを求める認証画面になりそーでそれはそれで怖い
Re:なにやっても無駄なのかな? (スコア:1, すばらしい洞察)
オンラインで申し込まれたら登録IDと暫定パスワードを物理メールで返す
同一宛先から複数登録されたら要注意
もちろん私書箱は認めない
費用かかるけどな
Re: (スコア:0)
逆にすれば?
申込が郵便。受付完了の手続きがオンライン。
郵便返送用の切手同封を条件にすれば更にハードルは高くなる。
Re: (スコア:0)
いつかは破られるんじゃないですかね。
これからは、「感情」とか「感覚」を入れていくべきかと。
たとえば、複数の絵や音声を提示して、
「どれがエロい?」「かわいそうなのはどれ?」みたいな。
もちろん、感情の不自由な人はどうするんだ、
という問題はあるけど。
Re: (スコア:0)
プロを呼べ (スコア:0)