2018 年 10 月 29 日(月曜日)
本日は、ユーザーの操作なしでウェブサイトへの不正なトラフィックを検出できる最新の API、reCAPTCHA v3 について紹介します。確認用画像を表示するキャプチャとは異なり、reCAPTCHA v3 ではスコアが返されます。サイト所有者は、このスコアに基づいてウェブサイトに最適なアクションを選択できます。
スムーズなユーザー エクスペリエンス
ここ 10 年の間、reCAPTCHA のテクノロジーは常に進化を遂げてきました。reCAPTCHA v1 では、歪められた文字を読み取ってボックスに入力し、確認用画像のテストをパスすることがすべてのユーザーに求められていました。その後、ユーザー エクスペリエンスとセキュリティの両方を改善するために reCAPTCHA v2 が導入されました。reCAPTCHA v2 では、リクエストが人間によるものなのか、それとも bot によるものなのかを判別するために、他にも数多くの要素が使用されるようになりました。これにより、reCAPTCHA の確認用画像は、不正行為の検出においてメインの機能ではなく二次的な機能として利用されるようになり、ユーザーの約半数が 1 回のクリックでパスできるようになりました。そして今回、reCAPTCHA v3 により、人間と bot を判別する方法が根本的に変わります。reCAPTCHA v3 では、サイトに対するアクティビティがどの程度不審であるかを示すスコアが返され、確認用画像によってユーザーを妨げる必要がなくなります。バックグラウンドで適応型リスク分析が実行されるため、ユーザーにスムーズなサイト エクスペリエンスを提供でき、不審なトラフィックがあった場合には通知を受け取れます。
「アクション」を使ったより正確な bot 検出
reCAPTCHA v3 では、「アクション」タグという新しいコンセプトが導入されています。このタグを使用することで、ユーザーの一連の操作における主要なステップを定義でき、コンテキストをふまえたリスク分析が reCAPTCHA によって実現します。reCAPTCHA v3 はユーザーの操作を妨げることがないため、複数のページに追加することをおすすめします。複数のページに追加することで、適応型リスク分析エンジンで複数のページにまたがるアクティビティを分析し、より正確に攻撃パターンを特定できるようになります。reCAPTCHA の管理コンソールでは、reCAPTCHA スコアの分布状況に関する全体的な概要を確認でき、サイトの上位 10 件のアクションに関する統計情報も確認できます。これにより、どのページが bot の標的にされているかを正確に把握し、それらのページへのトラフィックがどの程度不審であるかについても確認できます。
サイトに適した方法で bot に対処する
reCAPTCHA v3 のもう一つの利点は、スパムや不正行為を防ぐ方法をウェブサイトに合わせて柔軟に選べるという点です。これまでの reCAPTCHA システムでは、多くの場合、いつ、どのようなキャプチャをユーザーに提示するかが決められており、限定的にしかウェブサイトのユーザー エクスペリエンスに関与できませんでした。reCAPTCHA v3 では、操作がどの程度不審であるかを示すスコアが返され、そのスコアを 3 つの方法で活用できます。1 つ目はしきい値を設定し、ユーザーをパスさせるか、さらに確認が必要かを判断する方法です。追加の確認手順としては 2 段階認証プロセスや電話での確認などを使用できます。2 つ目は、reCAPTCHA が利用できない要素(ユーザー プロファイルやトランザクション履歴など)とスコアを組み合わせる方法です。3 つ目は、不正行為に対抗するための機械学習モデルのトレーニングにおいて、reCAPTCHA のスコアを指標の一つとして活用する方法です。このように、新しいバージョンでは新たな方法を利用できます。さまざまなタイプのトラフィックに応じてアクションをカスタマイズすることで、ウェブサイトのニーズに基づいてサイトを bot から保護し、ユーザー エクスペリエンスを改善できます。
reCAPTCHA v3 を利用することで、ユーザーの操作を妨げることなくサイトを保護し、危険な状況においてどのように対処すべきかをさらに正確に判断できます。今後も Google では、攻撃者に先んじて、インターネットの快適性と安全性を維持できるよう取り組んでまいります。
reCAPTCHA v3 の利用に関心をお持ちの場合は、デベロッパー サイトで詳細をご確認ください。