本日は、ユーザーが操作することなくウェブサイトへの不正なトラフィックを検出できる最新の API、reCAPTCHA v3 についてご紹介します。確認用画像を表示するキャプチャとは異なり、reCAPTCHA v3 ではスコアが返されます。サイト所有者は、このスコアに基づいてウェブサイトに最適なアクションを選択できます。
ここ 10 年の間、reCAPTCHA のテクノロジーは常に進化を遂げてきました。reCAPTCHA v1 では、歪められた文字を読み取ってボックスに入力し、確認用画像のテストをパスすることがすべてのユーザーに求められていました。その後、ユーザー エクスペリエンスとセキュリティの両方を改善するために reCAPTCHA v2 が導入されました。reCAPTCHA v2 では、リクエストが人間によるものなのか、それとも bot によるものなのかを判別するために、他にも数多くの要素が使用されるようになりました。これにより、reCAPTCHA の確認用画像は、不正行為の検出においてメインの機能ではなく二次的な機能として利用されるようになり、ユーザーの約半数が 1 回のクリックでパスできるようになりました。そして今回、reCAPTCHA v3 により、人間と bot を判別する方法が根本的に変わります。reCAPTCHA v3 では、サイトに対するアクティビティがどの程度不審であるかを示すスコアが返され、確認用画像によってユーザーを妨げる必要がなくなります。バックグラウンドで適応型リスク分析が実行されるため、ユーザーにはスムーズなエクスペリエンスを提供しながら、不審なトラフィックがあった場合には通知を受け取れます。
reCAPTCHA v3 では、「アクション」タグという新しいコンセプトが導入されています。このタグを使用することで、ユーザーの一連の操作における主要なステップを定義でき、コンテキストをふまえたリスク分析が reCAPTCHA によって実現します。reCAPTCHA v3 はユーザーの操作を妨げることがないため、複数のページに追加することをおすすめします。複数のページに追加することで、適応型リスク分析エンジンで複数のページにまたがるアクティビティを分析し、より正確に攻撃パターンを特定できるようになります。reCAPTCHA の管理コンソールでは、reCAPTCHA スコアの分布状況に関する全概要を確認でき、サイトの上位 10 件のアクションに関する統計情報も確認できます。これにより、どのページが bot の標的にされているかを正確に把握し、そのページへのトラフィックがどの程度不審なのかについても確認できます。
reCAPTCHA v3 のもう 1 つの大きな利点は、スパムや不正行為を防ぐ方法をウェブサイトに合わせて柔軟に選べるという点です。これまでの reCAPTCHA システムでは、多くの場合、いつ、どのようなキャプチャをユーザーに提示するかが決められており、限定的にしかウェブサイトのユーザー エクスペリエンスに関与できませんでした。reCAPTCHA v3 では、操作がどの程度不審であるかを示すスコアが返され、そのスコアを 3 つの方法で活用できます。1 つ目はしきい値を設定し、ユーザーをパスさせるか、さらに確認が必要かを判断する方法です。追加の確認手順としては 2 段階認証プロセスや電話での確認などを使用できます。2 つ目は、reCAPTCHA が利用できない要素(ユーザー プロファイルやトランザクション履歴など)とスコアを組み合わせる方法です。3 つ目は、不正行為に対抗するための機械学習モデルのトレーニングにおいて、reCAPTCHA のスコアを指標の 1 つとして活用する方法です。このように、新しいバージョンでは新たな方法を利用できます。さまざまなタイプのトラフィックに応じてアクションをカスタマイズすることで、ウェブサイトのニーズに基づいてサイトを bot から保護し、ユーザー エクスペリエンスを改善できます。
reCAPTCHA v3 を利用することで、ユーザーの操作を妨げることなくサイトを保護し、危険性の高い状況においてどのように対処すべきかをさらに正確に判断できます。今後も Google では、攻撃者に先んじて、インターネットを快適に、そして安全に使えるように取り組んでまいります。
reCAPTCHA v3 の利用に関心をお持ちの場合は、デベロッパー サイトで詳細をご確認ください。