ウイルスに留まることのないボットの暗躍

 「ボット」と聞くと、我々ウイルス解析担当者はコンピュータを外部から遠隔操作する不正プログラム「ボットウイルス」を思い浮かべます。
 日本国内においては、「サイバークリーンセンター」(* 注釈1)等の取り組みにより「ボットウイルス」の存在は広く一般へ浸透してきています。
 「ボット」という名称は、まるで「ロボット(ROBOT)」のように外部からのコントロールによって動作するというのがその語源です。
 不正プログラムの一分類として定着した感のある用語ですが、デジタル情報の世界においては元来、単純作業を繰り返し実施するアプリケーションのことを指す用語として使われてきました。
 インターネットが世に普及する前、1994年にリリースされたゲーム内にて人の代わりとなって対戦するコンピュータプレイヤーに対して「ボット」という用語を既に使用しています。

 このように「ボットウイルス」以外にも使用が見られる用語ですが、今回、「暗躍するボット」として紹介するのは「チケットボット」(自動チケット購入ソフト)です。
 「チケットボット」とは一体何なのでしょうか。チケット販売の背景とともにその問題点を分析してみたいと思います。

 日本においては、1984年にオンラインチケット販売サービスが開始されました。これにより、最寄りにプレイガイドがない場合でもオンラインでチケット予約が可能となり、現在ではインターネットを通じて、24時間いつでも好みのチケットを購入できるようになりました。
 利便性が向上するのに反して新たな問題も生まれています。「チケットゲッター」と呼ばれる「素人ダフ屋」の存在です。
 彼らは人気の試合、公演などのプラチナチケットをデジタル情報を巧みに利用し、一般人よりも素早く大量に入手し、インターネットオークションなどを通じて転売しています。
 「チケットゲッター」の問題は、朝日新聞社が刊行する知恵蔵 2001年度版にも「若者・流行語」として掲載されています。
 彼らが使うデジタルテクニックの一つが、先に紹介した「チケットボット」(自動チケット購入ソフト)です。

 これは、チケットの入手をオートメーション化することで待ち行列の最初に割り込み、チケットの大量購入を実現するソフトウェアです。
 チケットボットの存在は日本国内に限られたものではありません。米国内ではオンラインチケット販売大手の米Ticketmasterがチケットボット開発会社に対して販売禁止を求めた裁判を起こす事態にまで至っています。

 チケットボットの存在は、様々な問題を引き起こしています。訴訟では、消費者の公平な条件下でのチケット購入が阻害され、正規価格でチケットを入手できなくなっていることが主張されました。
 チケットボットによる一般消費者のチケット購入阻害はウイルスボットによって引き起こされる被害に類似しています。
 2007年10月22日付けUSA TODAYでは、米メジャーリーグ・ワードシリーズのオンラインチケット販売システムがチケットの販売開始90分の間に850万のアクセスがありサービス停止に追い込まれたと報道されています。

 システム設計の予想を超えるアクセスにより、サービス停止に至る。これはDoS攻撃(サービス拒否攻撃:Denial of Service attack)と呼べるでしょう。
 このDoS攻撃の原因となったものがチケットボットではないかとの憶測が2007年10月24日付けTechnology News上で報道されています。

 現在この問題はFBIによって捜査が行われており、真相は定かではありません。
 しかしながら、チケットボットの存在がボットウイルスと同様に一般人にとって不利益な存在であることは間違いありません。

 プレイガイド側もこの状況を黙って見過ごしている訳ではありません。
 先の米Ticketmasterの事例にもあるとおり、法的手段によるチケットボットの締め出しを推進しつつ、技術的な対策も行っています。

 チケットボット(プログラム)による手続きと人間による手続きを判定する方法として多くのプレイガイドで取り入れられているものが「CAPTCHA」です。
 CAPTCHAとは、Completely Automated Public Turing test to tell Computers and Humans Apartであり、ゆがんだ画像などを表示して人間が判定できる(機械的に判定できない)ようにすることで、人間の行為か、全自動化された機械的なものか判断する方法を指します。

 しかし、このCAPTCHAはチケットボットの万能薬とはいえないようです。

 「TROJ_CAPTCHAR.A」によって画期的な方法でCAPTCHAを破る手法が実証されています。

 TROJ_CAPTCHAR.Aは、Yahoo!のフリーメールアカウントを大量に取得するために開発されたと思われるウイルスです。
 Yahoo!では、メールアカウントの取得において、CAPTCHA認証を使用することでプログラムによる大量アドレス取得を防止しています。
 スパムメール配信のために大量のフリーメールアカウントを必要とするウイルスライターはTROJ_CAPTCHAR.AにCAPTCHA認証を破る機能を実装します。
 それは、人間の心理を巧みに突いたものでした。

 女性の画像とYahoo!から取得してきたCAPTCHAの画像を表示させ、CAPTCHAの文字を入力することでより過激な女性の画像を表示させています。

 

TROJ_CAPTCHAR.A による攻撃シナリオ
女性の画像とCAPTCHA認証用の画像を表示させ、指示通りCAPTCHA認証の画像を解読し文字入力することでより過激な女性の画像を表示させる。得られたCAPTCHA認証の文字はリモートに設置されたサーバに収集され、フリーメールアカウントを大量取得する目的で使用されます。

 好奇心とゲーム性に惹かれた被害者は次々に表示される文字を入力していくことで、スパムメール送信業者が目的とするフリーメールアカウントの作成に荷担していくことになります。

 TROJ_CAPTCHAR.AによるCAPTCHA認証の突破は特殊な事例といえますが、コンピュータによる文字認識技術の発達により、CAPTCHA認証によるオートメーションプログラムの防御は強度を弱めてきています。

 デジタル情報を提供する側、その情報を悪用とする側の攻防はウイルスに限らず、様々な方面で今後も続くことが予測されます。

* 注釈1. サイバークリーンセンターとは、総務省・経済産業省 連携プロジェクトとして、インターネットの脅威であるボットの特徴解析、ボット駆除の情報配信などの活動を実施しています。
サイバークリーンセンター