CAPTCHA
CAPTCHA とは何ですか?
CAPTCHA人間と自動化ボットを区別するために設計されたチャレンジ-レスポンステスト。一般にサインアップ、ログイン、フォーム送信のエンドポイントに導入される。
CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart)は、人間には容易だがソフトウェアには困難な課題を提示します。歪んだ文字、画像選択、音声プロンプト、目に見えない行動分析などです。この用語は、Carnegie Mellon の Luis von Ahn、Manuel Blum、Nicholas Hopper、John Langford による 2003 年の論文で生み出され、その課題を「難しい AI 問題」として位置づけました。すなわち、それを解くプログラムはどれも AI を前進させるため、テストはどちらに転んでも有用であり続けるという発想です。同じチームから派生し、課題を通じて書籍のデジタル化をクラウドソーシングした reCAPTCHA は、2009 年に Google に買収されました。
flowchart TD
U[訪問者がフォームを送信] --> W{"CAPTCHA / リスクチェック"}
W -->|"シグナル: マウス、IP、ブラウザ"| SC[スコアリクエスト]
SC -->|"人間である確度が高い"| P[許可]
SC -->|"スコアが低い"| CH[対話型チャレンジ]
CH -->|"通過"| P
CH -->|"失敗/解決業者ファーム"| B[ブロックまたは追加認証]Google reCAPTCHA v3、hCaptcha、Cloudflare Turnstile といった現代のサービスは、常にパズルを表示するのではなく、ブラウザのシグナル、IP 評価、操作パターンを用いてリクエストにスコアを付けます。CAPTCHA はクレデンシャルスタッフィング、スクレイピング、不正アカウントの作成、コメントスパムを減らしますが、認証ではありません。画像や文字のチャレンジは、現代のコンピュータビジョンモデルや有料の人間による解決業者ファームによって、大規模に日常的に突破されています(2Captcha のようなサービスは数千件の解決を数ドルで提供します)。また、アクセシビリティやプライバシーの懸念も生じます。CAPTCHA は単独のゲートとしてではなく、レート制限、MFA、ボット対策、行動分析と並ぶ一つの層として扱うべきです。
● 例
- 01
reCAPTCHA v3 が各リクエストに 0.0-1.0 のリスクスコアを返す。
- 02
ログインフォーム上の Cloudflare Turnstile ウィジェット。
● よくある質問
CAPTCHA とは何ですか?
人間と自動化ボットを区別するために設計されたチャレンジ-レスポンステスト。一般にサインアップ、ログイン、フォーム送信のエンドポイントに導入される。 サイバーセキュリティの アプリケーションセキュリティ カテゴリに属します。
CAPTCHA とはどういう意味ですか?
人間と自動化ボットを区別するために設計されたチャレンジ-レスポンステスト。一般にサインアップ、ログイン、フォーム送信のエンドポイントに導入される。
CAPTCHA からどのように防御しますか?
CAPTCHA に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。