ウェブサイトなどでIDとパスワードでログインする際、読みにくい文字を判別したり、チェックボックスを選択したことがあるのではないでしょうか?
これらはネット犯罪者による不正行為を回避するものではありますが、時にはとても面倒と思うこともあります。
米Googleが新たに公開した技術は、こうした不便さを解消しつつ、セキュリティレベルを向上してくれるものだということです。
そもそも、ログイン時のこの不便さはどうして発生したのでしょうか。
ネット犯罪者たちは不正行為のためのプログラム(ボット)を使って、ウェブサイトなどへの不正アクセスを試みます。
そういったボットによる行為を防止するための方法として、人間がログインをしようとしていることを確認するための「CAPTCHA」(コンピュータと人間を区別する完全に自動化された公開チューリングテストの意)という方法が使われてきました。
初期の「CAPTCHA」でよく見かけたのはこれ。読みにくい文字を識別し、テキストとして入力します。機械で判別できないように、本当に読みにくい文字が並びます(かなりイライラしますね)。しかし、この方法はセキュリティ技術者によって脆弱性があると指摘されてしまいます(コロンビア大学の発表[PDF])。
次いでGoogleがリリースしたのは「No CAPTCHA reCAPTCHA」(Are you a robot? Introducing “No CAPTCHA reCAPTCHA”)というものでした。今度はチェックボックスをクリックするだけの簡単なものでしたが、やはり面倒でした。
そして今回登場したのが、何もしなくていいCAPTCHです。「Invisible reCaptcha」とよばれるその技術は、チェックボックスをクリックする必要さえ無くし、人間側でやることを極力低減するといいます。ユーザー側は何もしなくても、機械学習により、セキュリティレベルを向上してくれるというのです。
日本のスタートアップCapyは、CAPTCHAが介入することでユーザーが離脱し事業的損失があると考えていました。彼らのサービス「Capy CAPTCHA」(IVSで優勝!「Capy CAPTCHA」(Capy Inc.) 、アプリHackersラウンジ出展者情報 (8) 【@maskin】)は、人間の存在確認をパズルにすることでそれを回避しようとしたのです。さらに「RISK Based Authentication」とよばれる行動分析などによる不正ログイン防止策を同時展開するようになりました。
不正ログインは、自動化されたボットによって大規模に行われることもあり、技術的な対策だけではイタチごっこになりがちです。だからこそ、人間の行動を機械学習で分析することで、逆にそれ以外ん存在(つまりボット)を排除する、という抜本的な対策を発掘すべく駒が進められたのでしょう。
【関連URL】
・Invisible reCaptcha
https://www.google.com/recaptcha/intro/invisible.html
