Threatpostに3月2日(米国時間)に掲載された記事「Google reCaptcha Bypass Technique Uses Google’s Own Tools|Threatpost|The first stop for security news」が、GoogleのreCaptcha V2検証システムをGoogleの提供しているAPIを使って回避する方法が発見されたと伝えた。音声認識エンジンを利用して音声データをテキストに起こすことで検証を回避するとしている。

CAPTCHAとは、ログインを試みようとしている対象が人間であるかプログラムによる自動操作であるかを判断する方法の1つ。ソフトウェアでは何が書き込まれているかを判断することは難しいが、人間であれば判断できる状態の画像を表示し、その内容を確認することでログイン対象が人間であるかそうでないかを区別している。

GoogleのCAPTCHA技術であるreCaptcha V2では、対象を確認する方法として画像ではなく音声による方法も提供している。確認を失敗したりページをリロードしたりすると、画像のみならず音声による検証を実施するためのアイコンが表示され、そこから音声データを取得。取得した音声データをGoogle Speech Recognition APIにかけてテキストデータに変換して検証をクリアするといった方法になっている。

GoogleのCAPTCHA技術を回避する方法はこれまでに別な方法も発表されているが、今回の方法はGoogleのCAPTCHA技術をGoogleの提供しているAPIを使って回避している点が注目される。CAPTCHA技術は認知技術の向上などで自動化が可能になるため、今後もイタチごっこが続くものと見られる。