「脱衣ゲーム」でスパム対策回避を狙うトロイの木馬 (ITmedia)
今回発見されたのは、ミニゲームを装ってCAPTCHAを破ろうとするトロイの木馬「Trj/RompeCaptchas.A」。このゲームは「脱衣ゲーム」と称し、Melissaと名乗るセクシーな美女の写真を表示する。写真の横にはCAPTCHA文字列が表示され、この文字列を正しく画面に入力すれば、Melissaが着ているものを脱いでいくという説明が付いている。
何も知らないユーザーがこのゲームをプレイして、文字列を入力すると、それはリモートサーバに送られ、不正なアカウント取得などに利用される恐れがある。PandaLabsによると、今回のケースではYahoo!のCAPTCHAが標的という。
Trend MicroのTrendLabsは、OCRを使ってCAPTCHAを回避する手法は以前から利用されているが、今回の手法は何も知らない人に悪事の手助けをさせるという点で新しいとしている。

うーん、新しいのかな。「CAPTCHA文字列を入力すればある種の画像を無料で見ることができる」サイトをでっちあげて、何も知らないユーザ(なぜか男性ユーザにばかり偏っているらしい)が喜んでCAPTCHA文字列をがんがん入力するので、それでアカウント取得したりコメントスパムばらまいたり、って話は前からあるような。今回のはサイトでなくトロイの木馬なのが新しいってことなんだろな。
しかし思ったんだけど、サイトで閲覧できるその手の画像といい、今回のセクシー美女といい、特定のベクトルを向いておるよのう。もっとこー例えば、「イケメガネ画像」である種の女性ユーザを騙してCAPTCHA破りさせるとか、「猫画像」で id:szkh2 を騙してタダ働きさせるとか、そういう可能性わないのか。
まあ、そういうマニアックなユーザの手を借りずとも はてなのCAPTCHAなら簡単に破れる とゆう指摘もあるみたいだけど…