複雑なテストなしで「人間であること」を証明、Cloudflareの新システム「Turnstile」は、CAPTCHA認証の代替になるか

不正アクセスを防ぐ目的で導入されている「CAPTCHA」認証の代替となる新たな認証方法「Turnstile」をCloudflareが発表した。端末がウェブサイトに送信する信号を解読することで「人間であること」を正確かつ迅速に証明できるこのシステムは、“次なるCAPTCHA”になりうるのか。
White puzzle piece removed from puzzle revealing empty red puzzle piece shape
Photograph: san isra/Getty Images

ウェブサイトへの不正アクセスを防ぐために導入されている「CAPTCHA」認証で、パーキングメーターを含むすべての画像をクリックするよう要求された。ところが、1枚だけ見逃したと警告されて認証されない──。そんなとき、独特の苦い怒りが込みあがってくる。しかも、見逃した画像が、隣のフレームにわずかに写っているメーターの角だけだとわかった場合はなおさらだろう。

関連記事:「笑っているイヌ」の画像を選べ!? 難易度が上がるCAPTCHA認証と、「人間であること」の証明の難しさ

こうしたCAPTCHA認証に対する怒りは、多くの人が抱いている。だが、この腹立たしいツールは、ボットによる不正アクセスやそのほかの乱用を防ぐためには欠かせない。

この認証方法を実装しているグーグルの「reCAPTCHA」は、機械学習を使って裏で密かに人間であるかどうかを確認するテストを2018年に発表した。これにより、ぼやけてゆがんだ文字や信号機だらけのマス目は段階的に排除されるだろう。こうしたなか、コンテンツ配信ネットワーク(CDN)などのインフラやセキュリティサーヴィスで知られるCloudflareが、新たな認証方法を22年9月下旬に発表した。

「Turnstile」と名づけられた新しい技術は、reCAPTCHAと同じようにCloudflareの顧客である必要はなく、無料でウェブサイトに導入できる。Turnstileには、Cloudlfareが4月に自社サービス向けに手がけた「Cloudflare Managed Challenge」というツールが応用されているという

CAPTCHA認証で出される課題を解く際には、自分が人間であることを証明する“試練”に立ち向かっている。これに対してManaged Challengeは、ブラウザーの技術的な動作やそのほかの遠隔測定を素早く静かにチェックし、認証テストを解くことなくユーザーが人間であることを判断する仕組みだ。

そして、このツールが十分な信頼性を欠く場合にのみ、「難しいテスト」やパズルが表示される。Cloudflareの顧客を対象にした法人向け製品であるManaged Challengeは、さまざまな種類のパズルを常にテストし、ユーザーにとってストレスが少ない選択肢を探し求めているという。

Turnstileは、API(アプリケーション・プログラミング・インターフェース)を介して誰でも無料で導入することが可能だ。この認証システムは、ユーザーには表示されないテストを実行するよう設定できる。

また、人間であるかどうかを確認するための“追試”として、ユーザーにクリックを求めるボタンを表示することも可能だ。Managed Challengeとは異なり、Turnstileは難しいチャレンジやCAPTCHAを表示することはない。

ストレス軽減とプライバシー保護の両立

「人間がロボットと並んで歩いているとしましょう。その場合は両者に何の質問もすることなく、通り過ぎる様子を見れば違いを判別できますよね」と、Cloudflareの最高技術責任者(CTO)のジョン・グラハム=カミングは語る。

「Turnstileは、PCからウェブサイトに送られてくる信号に対して、こうした判別をしているのです。この信号のなかには、みなさんが使っているブラウザーがウェブサイトにアクセスする際に使っているデバイスの情報などが含まれています。機械が人間のユーザーになりすましているほとんどの場合は、こうした情報の一部が欠けています。つまり、ウェブサイトに送られてくるリクエストには、ちょっとした“違和感”が検知されるのです」

ユーザーに表示されない課題としては、デバイスが解かなくてはならない複雑な数式などのテストが挙げられる。Turnstileは、アップルの「Macbook Air」やサムスンの「Galaxy」シリーズを始めとするデバイスが課題を解くために必要な時間をデータ化しているのだ。

例えば、「Galaxy S22」を名乗るデバイスが、テストを解くまでにかかる時間よりはるかに早いスピードで課題を解いたとしよう。すると、その端末から送信されたリクエストは、データセンターの自動システムから送られたものだと判断される可能性がある。

「Turnstile」を用いた認証の様子。この記事を読み続けるための認証ではないので安心していただきたい。

Courtesy of Cloudfare

CAPTCHAは、ウェブ上の重要なセキュリティ対策の手段だ。そしてCloudflareによると、Turnstileはプライバシーの保護にも注力しているという。

この認証ツールは、ブラウザーの特性やウェブサイトがレンダリングされる際のデータなど、いくつかのブラウザーのセッションデータを調べる。だが、広告データやログイン情報が含まれるCookieには手を出さないという。

またCloudflareは、データの確認をできる限り外部に任せて、同社が確認する範囲を最小限に抑える予定だ。Cloudflareが確認する情報の例を挙げると、アップルが「iOS 16」から導入する「プライベートアクセストークン」のデータである。これはユーザーが人間であることを証明し、CAPTCHAの必要性を減らすツールとして22年に発表されたものだ。

グーグルのreCAPTCHAは、ユーザーが人間かどうかを判断する要素のひとつとして、GoogleのログインCookieをもっているかどうかを確認していることが、研究者たちによって数年前に明らかになっている。グーグルはreCaptchaのデータを認証テスト以外に利用していることを否定しているが、ターゲット広告に利用している可能性を指摘する声もある。

正確性とスピードの向上を実現

Cloudflareによると、Managed Challengeを開始して以来、提供するCAPTCHAの数が劇的に減ったという。

「Cloudflare Managed Challengeを発表する前は、わたしたちがボットだと判断した訪問者に対して顧客から確認の依頼があった場合、必ずCAPTCHA認証を受けさせていました」と、CTOのグラハム=カニングは語る。「ところが、Cloudflare Managed Challengeを発表してから、認証を受けさせる割合は9%まで減ったのです。そして、いまは3%まで減少しています」

Cloudflareによると、以前は同社のサイトでユーザーはCAPTCHAの解読に平均32秒を費やしていたという。ところが、Managed Challengeを導入してからは、目に見えない方法による認証テストのおかげで平均待ち時間は1秒になった。

Cloudflareのログイン画面では、CAPTCHA認証の選択肢は「Legacy Captcha」と記されている。「これはCAPTCHAとはどんなものなのかを正確に表しています。人々が使うべきではない時代遅れのツールだと、わたしたちは考えているのです」と、Cloudlfareは説明している。

TurnstileはCAPTCHA認証をつくり直し、ユーザーが感じるストレスを軽減しようという業界全体の取り組みのひとつだ。しかし、いたるところに存在するreCAPTCHAに慣れてしまったせいで、新しい代替手段の採用は阻まれるかもしれない。

とはいえ、この分野が変化するにつれ、CAPTCHAに取って代わるシステムが導入されてもいいころだろう。特にノートPCを海に投げ捨てずに済む認証システムの参入は、大いに歓迎したい。

WIRED US/Translation by Naoya Raita)

※『WIRED』による認証の関連記事はこちらパスワードの関連記事はこちら


Related Articles
An illustration of a captcha identifying bats.
不正アクセスを防ぐために導入されている「CAPTCHA」認証の難易度が、これまでにないほど上がっている。アップルはiOS16から異なる認証システムを導入すると発表しているが、そう簡単にCAPTCHAを置き換えられないと専門家は言う。いったいなぜなのか。

毎週のイベントに無料参加できる!
『WIRED』日本版のメンバーシップ会員 募集中!

次の10年を見通すためのインサイト(洞察)が詰まった選りすぐりのロングリード(長編記事)を、週替わりのテーマに合わせてお届けする会員サービス「WIRED SZ メンバーシップ」。毎週開催のイベントに無料で参加可能な刺激に満ちたサービスは、無料トライアルを実施中!詳細はこちら