CAPTCHA - Distinguiendo humanos de botsとは

Lectura de 2 min aprox.

CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) とは、アクセスしているのが人間かボットかを 判別するための認証テストです。ログインフォームや会員登録ページに 導入することで、クレデンシャルスタッフィングやブルートフォース攻撃などの 自動化された攻撃を抑制します。2025 年現在、 ユーザーに操作を求めない「インビジブル CAPTCHA」が主流になりつつあります。

現場での使用例

「会員登録フォームにボットによる大量のスパムアカウント作成が発生しました。 reCAPTCHA v3 を導入してスコア 0.5 未満のリクエストをブロックしたところ、 スパム登録が 98% 減少。正規ユーザーには CAPTCHA チャレンジが 表示されないため、コンバージョン率への影響もありませんでした。」

CAPTCHA の進化

初期の CAPTCHA は歪んだ文字画像を読み取らせる方式でしたが、 OCR 技術の進歩により突破されるようになりました。 reCAPTCHA v2 は「私はロボットではありません」チェックボックスと 画像選択タスクを組み合わせ、reCAPTCHA v3 はユーザーの行動パターン (マウスの動き、スクロール速度、ページ滞在時間) をスコアリングして バックグラウンドで判定します。hCaptcha はプライバシーに配慮した 代替サービスとして採用が増えています。ボット対策の書籍 (Amazon)で体系的に学べます。

導入時の考慮点

CAPTCHA はセキュリティとユーザー体験のトレードオフです。 過度に難しい CAPTCHA はコンバージョン率を低下させ、 視覚障害のあるユーザーにとってはアクセシビリティの障壁になります。 音声 CAPTCHA の提供やスコアベース方式の採用で、 ユーザー負担を最小限に抑えつつ防御効果を維持できます。レートリミットと CAPTCHA を組み合わせることで、通常のユーザーには CAPTCHA を表示せず、 短時間に大量のリクエストを送信するボットにのみ CAPTCHA を要求する設計も可能です。クレデンシャルスタッフィング対策では、 CAPTCHA は重要な防御手段の 1 つです。

CAPTCHA の限界

CAPTCHA 解決サービス (人間が手動で CAPTCHA を解く代行サービス) や AI による画像認識の進歩により、CAPTCHA 単体での防御には限界があります。 パスつく.com で生成した強力なパスワードと CAPTCHA を組み合わせ、 多層的な防御を構築しましょう。認証セキュリティの書籍 (Amazon)も参考になります。