404 Blog Not Found

この手法、実は「エログリッドコンピューティング」として、少なくとも4年前から知られている。

「CAPTCHA Wish Your Girlfriend Was Hot Like Me?」という記事がありました。 相手が自動的に作業をするロボットではなく、人間であることを確認するために良く利用されているCAPTCHA(Completely Automated Public Turing Test to Tell Computers and Humans Apart)をエロパワーで突破しようとするトロイの木馬が紹介されています。

CMU student taps brain's game skills

ウェブのフォームの入力が人間によって成されたか、spammer などの使うロボットによって成されたのかを峻別するためのテスト CAPTCHA を「自動的に」破る方法。ウェブフォームでは文字を歪ませたりするなどの加工をして表示し、それを確認フォームで入力させるということで、ロボットかどうかの判別することがある。それを自動的に破るにはどうするか、の話。フリーメールや、ebay や PayPal の登録フォームで使われている。

しかし、無料のポルノサイトを開設し、そこを訪問するユーザーを利用することで、この保護機能を迂回する手口がスパマーの間に広がっている。

人脳か電脳かの判定を、裏で人脳を使って回避するこの手法は、かなり汎用性が高く、本物のユーザーとエログリッドを判別するのは理論的には不可能。

それでも、CAPTCHAがあちこちで使われているのは、費用対効果。エログリッドを構築するコストはそれほど低くないので、「破りがい」のあるサイトでないと導入しずらい。なにしろ破ろうとするサイトごとに、インターフェースを別々に用意しなければならないのだ。HotmailのCAPTCHA破りは元が取れても、はてなダイアリーだとそうは行かないだろう。

とはいうものの、エログリッドに対する根源的な脆弱性を現在のCAPTCHAが抱えており、また今回のトロイの木馬に見られるように、エログリッドコンピューティングが単なる可能性の問題から「今そこにある危機」になった現在、そろそろCAPTCHAに代わる手段が欲しいところだ。

方法として考えられるのは二通りある。

時限装置を取り入れる

現在のCAPTCHAの利用では、その他の情報の入力も一緒にやることが多いが、これを入力フェーズと認証フェーズにわけ、認証フェーズにたとえば「60秒以内に入力してください」として、60秒経つとCAPTCHA画像もリロードしてしまうという方法。

エログリッドコンピューティングの場合、「いつか問題が解ける」という点においては優れているが、「いつ問題が解けるか」という点に関してはグリッド参加者次第ということになる。この方法では特定のCAPTCHA画像が「使える」時間が短くなるので、攻撃を分散する効果がかなり見込めるのではないか。

個別認証を取り入れる

CAPTCHAが「人間かどうか」を判断しているのに対し、こちらは「具体的なユーザーかどうか」を判断する方法。ここlivedoor blogを含め、多くのblogサイトが、ID所有者のみにコメントを許可するオプションを用意している。

これの明らかな欠点は、匿名利用がしにくいということ。たとえばはてなダイアリーだと、ID所有者はCAPTCHAが免除される代わりにIDも記載されてしまう。もちろん匿名利用を許可したくない場合これは利点でもあるのだが。

OpenIDなどを使って、「IDを持っているけど、どのIDかは知らせない」という方法は取れるのではないか。

群衆の叡(知|痴)

エログリッドコンピューティングは、まさに群衆の叡智、いや叡痴というべきか。さすれば、群衆の叡智を成り立たせないための手法が導入できるのではないか。「時限装置」はアテンション分散の手段の一つと見なせるし、「個別認証」は対象を拡散する手段の一つとも見なせる。

いま一つ指摘しておかねばならないのは、エログリッドコンピューティングは「平和利用」も可能だということ。

reCAPTCHA という新サービスはすごい。その構想力には感動させられた。

この場合「釣り」はエロではないが、「群衆の個々にわずかに報酬を与えることにより、知見をわずかづつ積み上げる」という方法はすばらしい。問題は、この「わずかな報酬」として今のところ使われるのがエロが圧倒的に多いということと、集めた知見がCAPTCHA破りのようにあまり関心しないものが多いことだろうか。

この方法でアニメとかを作ったら面白そうなのだが。

Dan the Blogger, Not a Vertex of an Erogrid