CAPTCHAとは
この記事は約 2 分で読めます
CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) とは、アクセスしているのが人間かボットかを判別するための認証テストです。ログインフォームや会員登録ページに導入することで、クレデンシャルスタッフィングやブルートフォース攻撃などの自動化された攻撃を抑制します。 2025 年現在、ユーザーに操作を求めない「インビジブル CAPTCHA 」が主流になりつつあります。
現場での使用例
「会員登録フォームにボットによる大量のスパムアカウント作成が発生しました。 reCAPTCHA v3 を導入してスコア 0.5 未満のリクエストをブロックしたところ、スパム登録が 98% 減少。正規ユーザーには CAPTCHA チャレンジが表示されないため、コンバージョン率への影響もありませんでした。」
CAPTCHA の進化
初期の CAPTCHA は歪んだ文字画像を読み取らせる方式でしたが、 OCR 技術の進歩により突破されるようになりました。 reCAPTCHA v2 は「私はロボットではありません」チェックボックスと画像選択タスクを組み合わせ、 reCAPTCHA v3 はユーザーの行動パターン (マウスの動き、スクロール速度、ページ滞在時間) をスコアリングしてバックグラウンドで判定します。 hCaptcha はプライバシーに配慮した代替サービスとして採用が増えています。ボット対策の書籍 (Amazon)で体系的に学べます。
導入時の考慮点
CAPTCHA はセキュリティとユーザー体験のトレードオフです。過度に難しい CAPTCHA はコンバージョン率を低下させ、視覚障害のあるユーザーにとってはアクセシビリティの障壁になります。音声 CAPTCHA の提供やスコアベース方式の採用で、ユーザー負担を最小限に抑えつつ防御効果を維持できます。レートリミットと CAPTCHA を組み合わせることで、通常のユーザーには CAPTCHA を表示せず、短時間に大量のリクエストを送信するボットにのみ CAPTCHA を要求する設計も可能です。クレデンシャルスタッフィング対策では、 CAPTCHA は重要な防御手段の 1 つです。
CAPTCHA の限界
CAPTCHA 解決サービス (人間が手動で CAPTCHA を解く代行サービス) や AI による画像認識の進歩により、 CAPTCHA 単体での防御には限界があります。パスつく.com で生成した強力なパスワードと CAPTCHA を組み合わせ、多層的な防御を構築しましょう。認証セキュリティの書籍 (Amazon)も参考になります。
この記事は役に立ちましたか?