Palo Alto Networksは1月6日(米国時間)、「PurpleUrchin Bypasses CAPTCHA and Steals Cloud Platform Resources」において、フリージャックキャンペーン「PurpleUrchin」の背後で活動しているサイバー攻撃グループ「Automated Libra」が使っているテクニックについて伝えた。同社は、このグループがどうやってCAPTCHAなどの技術を回避して自動的にアカウントを大量に作成しフリージャックを実現しているかを説明している。
-
PurpleUrchin Bypasses CAPTCHA and Steals Cloud Platform Resources
フリージャックは、無料または一定期間は無料でクラウドストレージを利用できるアカウントなどを悪用して暗号資産のマイニングなどを実施する攻撃方法。不正なクレジットカード情報などを使ってアカウントを作成し、支払い不履行でアカウントが停止されるまでクラウドリソースを使い続けるといった不正処理なども行う。
Palo Alto Networksの調査によると、Automated Libraは2022年11月のピークオペレーション時には毎分3個から5個のペースでGitHubアカウントを作成。アカウントの自動作成の過程でCAPTCHA画像をバイパスしているほか、最終的にさまざまなクラウドプラットフォームサービスで13万を超えるユーザアカウントが作成されたことが確認されたと説明されている。
こうしたプログラムによる自動化に対抗するため、Webページにはしばしばキャプチャ(CAPTCHA: Completely Automated Public Turing test to tell Computers and Humans Apart)画像が使われる。Palo Alto Networksの分析によると、Automated Libraはこの画像をImageMagickのルーツでRGB補完画像へ変換し、さらにそこから赤チャンネルの歪度を取り出して並び替えるという方法で正解の画像を見つけている。複雑な方法ではなくコマンドを組み合わせるだけの処理でCAPTCHA画像から人間が判断するのと同じ画像を選択する方法を見つけていたことになる。
CAPTCHA技術は人間とプログラムを見分ける方法として使われているが、CAPTCHAを破る技術はその都度さまざまな方法が考案されており、それに対応してCAPTCHA技術の方も改良を加えるといったいたちごっこの状況が続いている。
