サイトアイコン TechWave(テックウェーブ)

遂にパスワード入力時に数字や写真を選択しなくてもよくなった、透明なreCAPTCHAをGoogleが提供開始 @maskin

ウェブサイトなどでIDとパスワードでログインする際、読みにくい文字を判別したり、チェックボックスを選択したことがあるのではないでしょうか?
これらはネット犯罪者による不正行為を回避するものではありますが、時にはとても面倒と思うこともあります。

米Googleが新たに公開した技術は、こうした不便さを解消しつつ、セキュリティレベルを向上してくれるものだということです。


そもそも、ログイン時のこの不便さはどうして発生したのでしょうか。

ネット犯罪者たちは不正行為のためのプログラム(ボット)を使って、ウェブサイトなどへの不正アクセスを試みます。
そういったボットによる行為を防止するための方法として、人間がログインをしようとしていることを確認するための「CAPTCHA」(コンピュータと人間を区別する完全に自動化された公開チューリングテストの意)という方法が使われてきました。

初期の「CAPTCHA」でよく見かけたのはこれ。読みにくい文字を識別し、テキストとして入力します。機械で判別できないように、本当に読みにくい文字が並びます(かなりイライラしますね)。しかし、この方法はセキュリティ技術者によって脆弱性があると指摘されてしまいます(コロンビア大学の発表[PDF])。

次いでGoogleがリリースしたのは「No CAPTCHA reCAPTCHA」(Are you a robot? Introducing “No CAPTCHA reCAPTCHA”)というものでした。今度はチェックボックスをクリックするだけの簡単なものでしたが、やはり面倒でした。

そして今回登場したのが、何もしなくていいCAPTCHです。「Invisible reCaptcha」とよばれるその技術は、チェックボックスをクリックする必要さえ無くし、人間側でやることを極力低減するといいます。ユーザー側は何もしなくても、機械学習により、セキュリティレベルを向上してくれるというのです。

日本のスタートアップCapyは、CAPTCHAが介入することでユーザーが離脱し事業的損失があると考えていました。彼らのサービス「Capy CAPTCHA」(IVSで優勝!「Capy CAPTCHA」(Capy Inc.) 、アプリHackersラウンジ出展者情報 (8) 【@maskin】)は、人間の存在確認をパズルにすることでそれを回避しようとしたのです。さらに「RISK Based Authentication」とよばれる行動分析などによる不正ログイン防止策を同時展開するようになりました。

不正ログインは、自動化されたボットによって大規模に行われることもあり、技術的な対策だけではイタチごっこになりがちです。だからこそ、人間の行動を機械学習で分析することで、逆にそれ以外ん存在(つまりボット)を排除する、という抜本的な対策を発掘すべく駒が進められたのでしょう。

【関連URL】
・Invisible reCaptcha
https://www.google.com/recaptcha/intro/invisible.html

蛇足:僕はこう思ったッス
 かつてないほどセキュリティに関心が集まる時代に入りつつあるように思う。プラットフォームが多様化すればするほど、ログイン情報は分散しユーザーの利便性が低下する。逆に一つのプラットフォームに依存すると、そのセキュリティが破られた時のインパクトが大きい。CAPTCHAはボットによるログインやパスワードチェックが行われることを防止するための技術だが、その側面だけをみていると別の角度からの攻撃を見失う可能性もある。肝心なのは利用者本人が一人の人間としてログインする意思があるかどうかであり、包括的にセキュリティレベルを高める必要がある。Invisible reCAPTCHAは、あくまでCAPTCHAのサービスだが、いずれ包括的なセキュリティ対策へと発展、もしくは融合していくのではないかと思うっす。将来的に気になるのは、ボットの人工知能活用による高度化だ。人間の行動を学習した人工知能が普及した際、それを逆手に取る人工知能ボットもでてくるのではないか?結局はイタチごっこが続くのではないか?という懸念だ。
モバイルバージョンを終了