RSAセキュリティは2009年12月17日、オンライン犯罪の最新動向を紹介する定例会を開催し、犯罪者サイドの新たなサービスとして、利用者が生身の人間であるかどうかを認証する手段であるCAPTCHA画像をAPI経由で解読可能にするオンライン・サービスが登場したことを報告した。
犯罪者が新たに用意したサービスは、Webサイトの認証手続きで一般的なCAPTCHA(2~4桁程度の文字をゆがませるなどして読み取りにくくした画像)を解読するサービスである。解読させたいCAPTCHA画像をサービス側に送ることで、ほぼ30秒以内に解読後のテキスト文字列を入手できる。
解読結果を販売するサイトには、「Death by Captcha」(画像1000個で1.75ドル)や、「Decaptcher.com」(画像1000個あたり2ドル)などがある。Decaptcher.comでは、11種類のプログラミング言語から利用可能なAPIを提供している。これにより、CAPTCHA画像を解読するコードをトロイの木馬などのマルウエアに組み込むことが容易となっている。
CAPTCHA画像を解読するメカニズムは、人海戦術である。実際にはコンピュータではなく生身の人間が解読する仕組みだ。あらかじめ解読を担当する人を雇っておき、解読の依頼がきた際に処理を割り振って解読させる。解読担当者の報酬はCAPTCHA画像1000件あたり1ドル程度であり、解読サービスの利用料の半分程度に抑えられている。
CAPTCHA解読サービスが登場した背景についてRSAは、CAPTCHAが認証手段としてすぐれていることを挙げている。「画像の認識はコンピュータによる自動化が難しく、コンピュータによる解読率は30%程度と低い。このため、各種Webサイトにおいてユーザー・アカウント登録やサービス利用時の認証手続きとして用いられている。これにより、例えばスパム送信者アドレスの大量自動登録などの行為を防止できる」(同社)。