CAPTCHA
CAPTCHA とは何ですか?
CAPTCHA人間と自動化ボットを区別するためのチャレンジ-レスポンステスト。サインアップ、ログイン、フォーム送信などで広く使われる。
CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart)は、人間には容易だがソフトウェアには困難な課題を提示します。歪んだ文字、画像選択、音声、目に見えない行動分析などがあります。Google reCAPTCHA v3、hCaptcha、Cloudflare Turnstile などの現代サービスは、ブラウザのシグナル、IP 評価、操作パターンからリクエストごとにスコアを付与します。CAPTCHA はクレデンシャルスタッフィング、スクレイピング、不正アカウント作成、スパムを抑えますが、認証ではなく ML や有料解決業者により大規模に突破されます。アクセシビリティとプライバシーの問題もあるため、レート制限、MFA、ボット対策、行動分析と組み合わせて多層的に使うべきです。
● 例
- 01
reCAPTCHA v3 が各リクエストに 0.0-1.0 のリスクスコアを返す。
- 02
ログインフォーム上の Cloudflare Turnstile ウィジェット。
● よくある質問
CAPTCHA とは何ですか?
人間と自動化ボットを区別するためのチャレンジ-レスポンステスト。サインアップ、ログイン、フォーム送信などで広く使われる。 サイバーセキュリティの アプリケーションセキュリティ カテゴリに属します。
CAPTCHA とはどういう意味ですか?
人間と自動化ボットを区別するためのチャレンジ-レスポンステスト。サインアップ、ログイン、フォーム送信などで広く使われる。
CAPTCHA はどのように機能しますか?
CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart)は、人間には容易だがソフトウェアには困難な課題を提示します。歪んだ文字、画像選択、音声、目に見えない行動分析などがあります。Google reCAPTCHA v3、hCaptcha、Cloudflare Turnstile などの現代サービスは、ブラウザのシグナル、IP 評価、操作パターンからリクエストごとにスコアを付与します。CAPTCHA はクレデンシャルスタッフィング、スクレイピング、不正アカウント作成、スパムを抑えますが、認証ではなく ML や有料解決業者により大規模に突破されます。アクセシビリティとプライバシーの問題もあるため、レート制限、MFA、ボット対策、行動分析と組み合わせて多層的に使うべきです。
CAPTCHA からどのように防御しますか?
CAPTCHA に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
● 関連用語
- attacks№ 232
クレデンシャルスタッフィング
ある漏えいから得たユーザー名・パスワードの組合せを他サービスで自動再生し、パスワード使い回しを悪用してアカウントを乗っ取る攻撃。
- attacks№ 130
総当たり攻撃
パスワード、PIN、鍵などの候補値を片端から試し、正しい値を割り出す攻撃。
- network-security№ 118
ボット管理
ボット管理は自動化トラフィックを検出し、善良なボットと悪意あるボットを見分けたうえで、それぞれに対して許可・チャレンジ・遮断を行うプラクティスです。
- network-security№ 904
レート制限
レート制限は、識別子(IP、ユーザー、API キー、トークンなど)あたりの単位時間内のリクエスト数を制限する仕組みで、API やアプリを濫用・スクレイピング・総当たり攻撃から守ります。
- network-security№ 1227
Web アプリケーションファイアウォール(WAF)
リバースプロキシ型のフィルタとして HTTP/HTTPS トラフィックを検査し、SQL インジェクションや XSS、ボットによる不正利用などの Web 攻撃をアプリ到達前に遮断する。
- attacks№ 010
アカウント乗っ取り (ATO)
攻撃者が正規ユーザーのアカウントを不正に支配し、金銭・データの窃取やさらなる詐欺行為に利用する攻撃。