Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 165

CAPTCHA

監修Cybersecurity entrepreneur & security researcher

CAPTCHA とは何ですか?

CAPTCHA人間と自動化ボットを区別するために設計されたチャレンジ-レスポンステスト。一般にサインアップ、ログイン、フォーム送信のエンドポイントに導入される。


CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart)は、人間には容易だがソフトウェアには困難な課題を提示します。歪んだ文字、画像選択、音声プロンプト、目に見えない行動分析などです。この用語は、Carnegie Mellon の Luis von Ahn、Manuel Blum、Nicholas Hopper、John Langford による 2003 年の論文で生み出され、その課題を「難しい AI 問題」として位置づけました。すなわち、それを解くプログラムはどれも AI を前進させるため、テストはどちらに転んでも有用であり続けるという発想です。同じチームから派生し、課題を通じて書籍のデジタル化をクラウドソーシングした reCAPTCHA は、2009 年に Google に買収されました。

flowchart TD
  U[訪問者がフォームを送信] --> W{"CAPTCHA / リスクチェック"}
  W -->|"シグナル: マウス、IP、ブラウザ"| SC[スコアリクエスト]
  SC -->|"人間である確度が高い"| P[許可]
  SC -->|"スコアが低い"| CH[対話型チャレンジ]
  CH -->|"通過"| P
  CH -->|"失敗/解決業者ファーム"| B[ブロックまたは追加認証]

Google reCAPTCHA v3、hCaptcha、Cloudflare Turnstile といった現代のサービスは、常にパズルを表示するのではなく、ブラウザのシグナル、IP 評価、操作パターンを用いてリクエストにスコアを付けます。CAPTCHA はクレデンシャルスタッフィング、スクレイピング、不正アカウントの作成、コメントスパムを減らしますが、認証ではありません。画像や文字のチャレンジは、現代のコンピュータビジョンモデルや有料の人間による解決業者ファームによって、大規模に日常的に突破されています(2Captcha のようなサービスは数千件の解決を数ドルで提供します)。また、アクセシビリティやプライバシーの懸念も生じます。CAPTCHA は単独のゲートとしてではなく、レート制限、MFA、ボット対策、行動分析と並ぶ一つの層として扱うべきです。

  1. 01

    reCAPTCHA v3 が各リクエストに 0.0-1.0 のリスクスコアを返す。

  2. 02

    ログインフォーム上の Cloudflare Turnstile ウィジェット。

よくある質問

CAPTCHA とは何ですか?

人間と自動化ボットを区別するために設計されたチャレンジ-レスポンステスト。一般にサインアップ、ログイン、フォーム送信のエンドポイントに導入される。 サイバーセキュリティの アプリケーションセキュリティ カテゴリに属します。

CAPTCHA とはどういう意味ですか?

人間と自動化ボットを区別するために設計されたチャレンジ-レスポンステスト。一般にサインアップ、ログイン、フォーム送信のエンドポイントに導入される。

CAPTCHA からどのように防御しますか?

CAPTCHA に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

関連用語