CAPTCHA をつかう理由は何処にある:そろそろ終わりにしよう

Why are CAPTCHAs still used?

2022/03/10 HelpNetSecurity — オンライン・ビジネスの成功は、顧客が横断歩道や信号機を正しく認識できるかどうかにかかっている。もちろん、それは CAPTCHA のことだ。CAPTCHA とは、さまざまな画像の中の特定の要素を認識することで、エンドユーザーに自分が人間であることを証明するよう求める、オンライン・セキュリティ・ツールのことである。しかし、残念ながら、このプロセスは完全なものではなく、最近ではサイバー犯罪者により簡単に回避されてしまうようになった。

CAPTCHA の、もう一つの問題は、コンバージョン率に影響を与えることだ。2009年の時点で、この技術について企業は、不完全で難しく、一部の顧客が購入を完了することから遠ざかってしまう、と不満を述べていた。
つまり、かつてのような保護機能はなく、過去 12年間の主な成果は、顧客の購入プロセスを遅らせることだとすれば、私たちは自問自答しなければならない。なぜ CAPTCHAは、まだ存在するのだろうか?

CAPTCHA はどこから来たのか?

Wikipedia によると、CAPTCHA は「…2003年に Luis von Ahn/Manuel Blum/Nicholas J. Hopper/John Langford により作られた造語である。最も一般的なタイプの CAPTCHA Ver 1.0 は、1997年に2つのグループが並行して作業することで、初めて作成された」とされている。

現在、CAPTCHA を提供しているベンダーは20社以上あり、Google の reCAPTCHA は 600万以上の Web サイトで使用されている。

この技術は以前から存在しており、インターネット上でビジネスを行う上で、当たり前のものとして定着している。BuiltWith によると、上位 10万件の Web サイトの3分の1以上が CAPTCHA を使用しているとのことだ。企業は、これを使う必要があると考え、消費者は不満ながらも受け入れている。これで良いのだろうか? ユーザーの人間性を証明し、ボットを検出する、別の方法があってはならないのだろうか?

CAPTCHA はもう機能しないのか?

基本的な意味で CAPTCHA は、ボットや詐欺師が Web サイトにアクセスするのを防ぐゲートウェイとして機能している。しかし、攻撃技術が進化する一方で、CAPTCHA は時代に付いていけてない。CAPTCHA は、攻撃性が低くなるように改良されたとはいえ、摩擦が生じるだけではなく、回避するのが簡単になっている。

今日のボット運用者は、豊富なツールを利用している。CAPTCHA を回避する AI 駆動型のテクノロジーと、その作業を代行する手作業型のアプローチの両方がある。これらのツールは、Web で検索すれば低コストで (あるいは無償で) 広く入手することが可能だ。技術的なバックグラウンドを持たない人々であっても、CAPTCHA を回避するボットはもちろん、他の消費者よりも早く列に並んで、希望の限定商品を購入するためのボットも簡単に見つけられる。

もし、このようなことが誰にでも可能であるなら、潤沢な資金と豊富な人材を持つ犯罪組織が、どのような手口を用意しているのかと考えてほしい。彼らは、資金/人材/技術的なノウハウを持っており、どのようなセキュリティ・ソリューションであっても迂回できる。

要するに、あなたが防ごうとしている詐欺や悪用は、CAPTCHA では防げないということだ。つまり、ボットでないことを証明するために、さまざまな画像を見なければならない、忠実な顧客をイライラさせるだけだ。

ボットが CAPTCHA を回避する方法

ボットが CAPTCHA を回避する最も一般的な方法は、CAPTCHA ファームと呼ばれる、低コストで利用できる外注の手作業によるものだ (実質的にはデジタル労働搾取工場)。Web 上には、API やブラウザ・プラグインなどの、ボット運用者とサービス提供者を簡単に接続する方法が存在する。

たとえば、2CAPTCHA というグループは、新興経済圏内で作業を外注し、ボット運用者に対して、1000 CAPTCHA を解くごとに $1 にも満たない金額を請求している。実際、このようなサービスは広まり、さらに安価に提供されるようになってきた。

商品を購入するために、ボットが Web サイトにアクセスしようとすると、人間からのリクエストであることを証明するために CAPTCHA が表示される。ボットは API キーを使って、CAPTCHA ファームにデータを送信する。そして、ファームにいる人間のワーカーがボットに代わって CAPTCHA を解き、認証トークンをボットに送り返す。次に、ボットが認証トークンを Web サイトに送信すると、Web サイトは正規ユーザーと同じようにボットのアクセス要求を許可する。

CAPTCHA が回避されたことでボット運用者は、簡単に商品を購入することや、詐欺をはたらくことが可能になる。ボット運用は、このような行為を大規模に行うことが可能だが、購入のたびに僅かな費用を支払うだけで済んでしまう。たとえば、高級スニーカー/グラフィックカード/PS5コンソールなどの、需要の高い商品の場合、得られる利益率は非常に大きくなる。

信号機でないなら何なのか?

効果のない CAPTCHA 技術であっても、独自のセキュリティ・ドングルを購入させるという非現実的なアイデアであっても、ボットを特定し、ボットから保護するために、企業側が努力する必要があることは明らかだ。ボット対策は、オンライン・ビジネスの安全性を確保するための、基本的な要件の一部であるべきだ。

問題の一つは、CAPTCHA が、テクノロジー業界の多くの大手企業により支持され、問題に対する簡単な解決策のように思われていることだ。そのため、ほとんどのオンライン・ビジネスは、CAPTCHA を導入しても問題ないと感じ、それが機能していると信じ、そうでないと言われても見向きもしなくなる。つまり、「攻撃を防ぎ、顧客とサイトを保護するために CAPTCHA を使用している」という、もっともらしい反証の一種になっている。

なぜか私たちは、この何も捕捉できない技術の陰に隠れるのか、それとも、ボットの現実に対して降参してしまうのか。もうそろそろ終わりにして、それらをまとめて判断しよう。

つまり、この種の不正行為や不要なアクセスを阻止する責任は、顧客ではなく企業が負うべきものとして考える必要がある。この問題を解決するためには、悪意の自動化、つまりボットの使用を、ビジネスを行う際に検出するための、最新のアプローチに投資する必要がある。これは、交通関連のシンボルを撮影する人たちの、ビジネスの終わりを意味するかもしれないが、すべての人にとって、より安全で公正なオンライン・ビジネス環境をもたらすだろう。

CAPTCHA があるサイトには、なんとなく安心してしまうという傾向がありますが、すでに効果がないのであれば、止めにしたほうが良い機能ですね。いまは、MFA や 2FA があるのですから、そちらへと切り替えるべきだと思います。年末の Log4j に始まり、その後にウクライナ問題があり、それらに目がいってしまう流れですが、こうした問題を掘り下げてくれる記事には、とても共感を覚えますね。

%d bloggers like this: