この記事を読むには認証が必要です。
ウソですけど。
WEB上のサービスを利用しているときに出てくる「私はロボットではありません」の認証について、昨年のある時期から「改善してくれないか」という問い合わせがグーグルに対して非常に多くなったそうです。reCAPTCHAの認証は、BOT対策として年々複雑化したものを導入するWEBサービスが増えており「道路標識を全て選択してください」「お店の外観を全て選択してください」というタイプの認証や、崩れた字体の英数字を入力する認証に時間がかかった経験がある人も多いのでは無いでしょうか?
CAPTCHA認証(「私はロボットではありません」のやつ)が普通に難しい
— おここ (@ococonomy1) June 6, 2018
ウェブサイトの認証で、パスワードとCAPTCHAを同時入力させてきてた時に失敗すると、
— zmk (@zzzzmmmmkkkk) January 30, 2019
どちらかが間違えてます、みたいなエラー出るんだけど、どっちか言えよ。
あと、CAPTCHAの大文字小文字わかりづらすぎるだろ。お前、自分から文字の背丈雑にグニャグニャさせてるやんけ。
多くのユーザーから改善を求められた結果、reCAPTCHAの認証のうち最もシンプルな「私はロボットではありません」をクリックしてから数秒待つだけのタイプに戻すサービスが増えていますが、果たしてこれによってBOT対策ができているのか疑問に思う方も多いかもしれません。
これらのCAPTCHAとはCompletely Automated Public Turing test to tell Computers and Humans Apartの略語で「コンピュータと人間を区別する完全に自動化された公開チューリングテスト」という意味になります。頭にreが付いたreCAPTCHAは、人間による回答によってロボットが認証の答えを検証するシステムが導入されたものです。
CAPTCHAのシステムが導入され始めた2000年代前半には、シンプルな認証でもスパムBOTの対策が十分可能でした。それから10年以上経った現在では、スパムBOTは簡単な認証であれば簡単に突破する仕様にレベルアップしており、それらを排除するために崩れた文字列を入力させる認証や、画像を見て選択させる認証が導入されるようになったのです。
しかし、文字列の認証もある時点から機械学習を行なったAIが人間よりも優秀になってしまいました。AIは機械学習による膨大なデータの蓄積により、人間は33%しか突破できないテストを99.8%の制度で突破できるようになったのです。そのため、より難しい文字列の認証を求められたり、テーマの画像を選択するという手間のかかる認証が導入されたりするようになりました。
現在は、ユーザーデータと行動から人間であることが明らかであるアカウントに対しては、シンプルなCAPTCHA認証を行うという方式が採用されています。同じサービスを利用していても、これまで接続を繰り返して利用してきたIPアドレスからの接続では簡単な認証が要求される一方で、サービスを提供している国とは別の国からのIPアドレスからのアクセスや、Torを介するアクセスにはより難しい認証が要求されます。
また、認証ボタンをクリックするまでの挙動に不審な挙動があった場合にも追加で認証が行われる場合があります。不審な挙動とは、認証ボタンをクリックするまでの時間が極端に短いなどの例が存在します。
これらを踏まえると、現在は 難しい認証は新規のアカウント作成の際などに課されるケースが多いということになります。また、難しい認証も高い確率で突破できるAIも出てきており、CAPTCHA認証が複雑化している背景には人間とAIの競争があったのです。
▼関連記事
