「ここからワンストップのセキュリティーを。専門家のブレインで固めて、スーパーエンジニアたちで本物の“セキュリティーAI”を作りたい」――オレゴン州立大学卒業、京都大学大学院で情報学の博士号を取得し、国内だけでなく海外でも多数の受賞経験があるCapy(キャピー) Inc.のCEO、岡田満雄氏はサイバーセキュリティーの「ドクター」として、将来の通過点をそう語る。さらにその先には、野望ともいえる大きな目標がある。
難しい、わかりにくいといわれがちなセキュリティーを、誰もがわかるかたちで提供すること。よくわからないから何も対策せず、その結果やられるという現状を変えるため、岡田氏はどのように活動してきたのか。岡田氏にCapyの生い立ち、そして向かう先に見えるものを聞いた。
ログインの総当たり攻撃を防ぐ「Capy CAPTCHA」とは
まず、岡田氏が考案し既に多数の国内サイトでも導入されている「Capy CAPTCHA」とはなんだろうか。
現在、ウェブサイトは利用者を特定する認証手段として、IDとパスワードを利用している。多くのウェブサービスを利用する際に、どうしても発生してしまうのが「パスワードの使い回し」だ。
パスワードの使い回しはセキュリティー上のリスクのひとつで、あるウェブサービスにおいてID、そしてパスワードが万が一漏えいしてしまうと、そのセットをほかのウェブサービスでも使い回している場合、ログイン試行が成功してしまう可能性がある。これは「正しいユーザーが正しいパスワードを利用してログインしている」ように見えるため、自社サービスには脆弱性がなかったとしても「被害」が発生する。これを「パスワードリスト型攻撃」と呼ぶ。
パスワードリスト型攻撃と、実際の人間のログイン試行に違いはあるのだろうか。実はそこには「機械」プログラムによるログインか、人間によるログインかの微妙な差がある。その区別さえつけば被害を防げるはずだ。多くの場合、1つのサイトに多数のログインIDパスワードのセットを何度も試行する形での攻撃が行なわれるため、攻撃者はプログラミングにて攻撃を自動化する。
そこで、IDパスワード以外に、「機械がログイン試行しているかどうか」を判定する仕組みを入れ込む。読者の多くも、極めて読みにくいアルファベットの羅列を入力させるウェブサービスを体験したことがあるだろう。
機械は読めないが人間は読めるという差を利用したのが、人間とマシンを判別するテスト、「CAPTCHA」と呼ばれる技術だ。岡田氏が考案した「Capy CAPTCHA」は、従来の文字型CAPTCHAをさらに推し進め、より機械が判断しづらく、人間には一目瞭然な「パズル」に進化させたものだ。現在はパズルのピース型に絵をはめ込む「Capyパズルキャプチャ」、さらには絵の中にあるものをルールに従い配置する「Capyアバターキャプチャ」などをリリースしている。
サービス開始からは4年が経過し、現在ではソフトバンクモバイルの会員サイトや各種クレジットカード企業の会員サイトなど、国内での展開事例が多く存在している。多くの企業からは「不正ログイン試行が防げた」という声が上がっており、中には「外したときに再度不正ログインの波が来るかもしれないため、使い続けていきたい」「自社に導入したら、不正ログイン試行の波が同業他社に流れたようだ」というコメントまであったという。
さらには、ログインユーザーの行動が怪しい場合、パズルのピースを動的に増やすなどの設定も行われる。このような形で不正ログインに対しては実績・効果を上げているが、Capyとしては次の段階、不正行動を予測する「セキュリティーAI」の実現を目指しているという。
週刊アスキーの最新情報を購読しよう
本記事はアフィリエイトプログラムによる収益を得ている場合があります