パーキングメーターのあるボックスを全部クリックするように言われたのに、隣接する何もない四角の周辺にかろうじて浮かんだ小さな灰色のせいで、メーターを見逃したと言われると、独特の苦い怒りを感じる。これはおなじみの怒りであり、何年もの間ウェブ上で CAPTCHA が引き起こしてきたものだが、こうした腹立たしいツールはボットによる詐欺などの不正行為をブロックするために重要だ。こうしたチェックを実装する世界の主流ツールである Google の reCaptcha は、2018 年に機械学習を使用して水面下で静かに人間であるかどうかをチェックし、文字化けしてぼやけた文字列や信号機だらけのグリッドを段階的に廃止するバージョンをリリースした。今週、インターネット インフラ企業の Cloudflare が競合製品をリリースする。
reCaptchaと同様、Cloudflareの新しい代替手段であるTurnstileは無料で、Cloudflareの顧客でなくても自分のサイトに導入できる。Turnstileは、同社が4月に自社サービス向けにリリースしたCloudflare Managed Challengeというツールをベースにしている。キャプチャを入力すると、人間であるかどうかの「チャレンジ」を完了することになる。一方、Managed Challengeは、ブラウザの技術的動作やその他のテレメトリを素早くサイレントにチェックし、ユーザーに何も求めることなく、ユーザーが人間であるかどうかを判断しようとする。ツールが十分な信頼度に達しなかった場合にのみ、「より難しいチャレンジ」や解くべきパズルを表示する。そして、Cloudflare顧客向けのエンタープライズ製品であるManaged Challengeは、ユーザーにとってフラストレーションが少ないオプションを見つけるために、さまざまな種類のパズルを常にテストしている。
Turnstileは、アプリケーションプログラミングインターフェース(API)を介して誰でも無料で実装できます。ユーザーには表示されない目に見えないチャレンジのみを実行するように設定することも、人間性チェックとしてユーザーがクリックできるボタンを表示するように設定することもできます。Managed Challengeとは異なり、Turnstileは難しいチャレンジやCAPTCHAを表示することはありません。
「もし人がロボットの隣を歩いているとしたら、たとえその人やロボットに何も質問しなくても、ただ通り過ぎるのを観察するだけで両者の違いを観察できるでしょう」と、Cloudflareの最高技術責任者、ジョン・グラハム=カミング氏は語る。「Turnstileは、あなたがアクセスしているウェブサイトにコンピューターから送信される信号、つまり使用しているウェブブラウザやアクセス元のデバイスなどについて、これを実現できます。機械が人間のユーザーになりすまそうとする場合、こうした詳細をすべて正しく認識できないことがよくあります。つまり、リクエストに何か『おかしい』点があるということです。」
目に見えないチャレンジには、デバイスに解かせる複雑な方程式などのテストが含まれます。Turnstileは、MacBook AirやSamsung Galaxyなど、様々なデバイスがチャレンジを解くのにかかる時間に関するデータを保有しています。Samsung Galaxy S22を名乗っているデバイスが、本来の性能よりもはるかに速くチャレンジを解く場合、そのリクエストは実際にはデータセンターで稼働する自動システムから送信されている可能性があります。
Cloudfare提供
CAPTCHAはウェブ全体で重要なセキュリティ対策ですが、CloudflareはTurnstileを特にプライバシー保護に優れていると謳っています。このツールは、ブラウザの特性やウェブサイトのレンダリングメカニズムからのデータなど、一部のブラウザセッションデータを確認しますが、広告CookieやログインCookieはチェックしません。また、Cloudflareはデータ確認を可能な限り外部委託し、Cloudflareが確認するデータを最小限に抑える計画です。例えば、Turnstileは、ユーザーが人間であることを証明し、CAPTCHAの必要性を減らすツールとして今年導入されたAppleの「プライベートアクセストークン」をチェックします。
近年、研究者らは、GoogleのreCaptchaが、ユーザーが人間であるかどうかを判断する要素の一つとして、GoogleログインCookieの有無を確認していることを発見しました。GoogleはreCaptchaのデータがチャレンジ以外の目的で使用されていることを否定していますが、一部の人々は、このデータがターゲティング広告キャンペーンに利用される可能性があると指摘しています。
Cloudflareは、Managed Challengeを開始して以来、提供するCAPTCHAの数を大幅に削減したと述べています。
「Cloudflareマネージドチャレンジを導入する前は、訪問者がボットであると確信していても、お客様が確認を希望する場合、100%の確率でキャプチャを提供していました」とグラハム・カミング氏は言います。「Cloudflareマネージドチャレンジを導入した後は、その割合は9%にまで減少しました。現在では、さらに3%まで減少しています。」
同社によると、ユーザーは自社サイト上でCAPTCHAに平均32秒を費やしていたという。マネージドチャレンジを導入して以来、新機能によるサイレントかつバックグラウンドでのチャレンジのおかげで、平均待ち時間は1秒に短縮された。Cloudflareダッシュボードでは、CAPTCHAオプションが「レガシーCAPTCHA」に変更された。同社は「これはCAPTCHAの本質をより正確に表現している。つまり、時代遅れのツールであり、ユーザーが使用すべきではないと考えているということだ」と述べている。
Turnstileは、CAPTCHAを改良し、ユーザーのストレスを軽減しようとする業界全体の取り組みの一環です。しかし、reCaptchaの普及と馴染み深さは、新たな代替手段の導入を阻む可能性があります。しかし、この分野が変化するにつれ、新たなプレイヤー、特にノートパソコンを海に放り投げたくなるようなことのないプレイヤーが登場する好機が訪れるかもしれません。
2022年9月28日午後6時20分(東部標準時)更新:Turnstileに関する追加情報とCloudflareからのコメントを追加しました。また、Turnstileがユーザーに提示する「課題」の種類についても明確にしました。
