Captcha認証でスパム対策!活用される理由や「私はロボットではありません」と出る原因を解説
近年、ボットによって不正アクセスを大量に行うことが容易になり、その分不正アクセスの被害を受けるリスクが高まっています。ボットによる不正アクセスを防ぐ方法はいくつかありますが、その中の1つがcaptcha認証です。
本記事では、captcha認証の意味や認証方法、活用される理由などを解説します。
captcha認証とは
captcha認証は、人間による操作かコンピュータによる操作かを区別するために活用される、スパム対策の自動テストです。Webサイトで利用することで、ボットによる不正な操作を防ぐことが狙いです。ここでは、captcha認証に関する基礎知識を3つ解説します。
それでは、1つずつ解説します。
【関連記事】急増する「不正ログインBot」代表的な手口と、効果的な対策4選
captcha認証のやり方
ここでは、captcha認証のやり方を3つ解説します。
それでは、1つずつ解説します。
文字認証
文字認証では、数字や文字を歪めることやかすめることで、コンピューターで文字を読み取りにくくします。
ただ人間であれば判別できる程度にとどめておくことで、人間かコンピューターか判断する仕組みです。
画像認証
画像認証では、通常9枚あるいは16枚の画像が画面に表示され、動物や道路標識など特定の対象物が含まれる画像を識別してもらうことで認証を行います。
人間では読み取れるものの、コンピューターではうまく読み取れないやや不鮮明な画像を用いることで、人間の操作かボットの操作か区別する仕組みです。
音声認証
音声認証では、入力してほしい数字を音声で流すことで人間であるか判定します。音声の背景にノイズを入れることで、AIなどからの不正アクセスを防ぎます。
この音声認証は、視覚障害者でも利用しやすいことがメリットです。
re captcha 認証
reCAPTCHA(リキャプチャ)はcaptcha認証を取り入れた認証サービスです。Googleが提供しており、文字列の入力など手間のかかる操作をせずとも、「私はロボットではありません」と記載されているチェックボックスにチェックをするだけで認証できます。
一見単純な操作ですが、人間の操作かボットの操作か判別できるプログラムが仕組まれているため、ボットがチェックをしても認証されない仕組みです。
captcha認証が活用される理由
captcha認証が活用される理由は、ボット攻撃によりユーザーのセキュリティが脅かされている事例があるためです。スパムボットによる攻撃を受けると、フォーム攻撃やアカウント乗っ取りで個人情報が盗まれる恐れがあります。
特に、銀行やクレジットカードなどの機密情報が盗み出されると、その被害は深刻です。このようなリスクを抑えるために、キャプチャ認証を用いて不正なボット攻撃からユーザーのアカウント情報を守ります。
【関連記事】問い合わせフォームのスパム・嫌がらせを防ぐ7つの対策|簡単・効果的な方法まとめ
captcha認証で「私はロボットではありません」と出る原因
人間であれば、多少ゆがんだテキストや不鮮明な画像でも正しく解釈できることが多いものの、一般的なボットではそれは困難です。この差を利用して、人間の操作かボットの操作か判断することがcaptcha認証の仕組みです。
ただ、captcha認証で「私はロボットではありません」と出るケースがあるため、ここではcaptcha認証で「私はロボットではありません」と出る原因を2つ解説します。
それでは、1つずつ解説します。
画像の選択が不正解
画像の選択が不正解であると、「私はロボットではありません」と出てきます。ただ、認証時には一見分かりづらい問題が出題されることもあるので、よく画像を確認して選択を行いましょう。
また、質問に該当する画像が見つからない場合や画像がよくわからない場合は、 切り替えアイコンを押して質問を切り替えることも一手です。
VPNの利用
VPNでは、他のユーザーと共有で静的IP アドレスが割り当てられます。そのため、多くの異なるユーザーが同一のIP アドレスを利用して、同じウェブサイトにアクセスしているとみなされます。
その結果、キャプチャは1つの IP アドレスからのアクセス増加があったことを検知し、captcha認証で「私はロボットではありません」と出てくるのです。
captcha認証ではできないこと
ここでは、captcha認証ではできないことを3つ解説します。
それでは、1つずつ解説します。
人によっては利用不可能
例えば画像認証や文字認証では、目で画像や文字を確認しなければならないため、視覚障害者は利用できません。 また、音声認証では聴覚障害者の利用は不可能です。
このように、認証方法によってはcaptcha認証を使えないユーザーが出てくることに注意しましょう。
常に人間にとって簡単な問題の出題
captcha認証の問題は、Google が決定します。その際に、場合によっては人間でも判断に迷う難しい問題が出題されるかもしれません。
また、もし何度もcaptcha認証が出題されるのであれば、Googleがあなたが人間ではなくロボットであることを疑っている可能性が考えられます。
100%のボット対策
現状では、captcha認証だけではボットの被害を100%は防ぎきれません。例えば、以下の方法がcaptcha認証対策としてすでに使われています。
そのため、captcha認証以外にもボット対策を講じることがおすすめです。
引用:画像使ったCAPTCHA認証、AIで100%突破に成功 チューリヒ工科大学
【関連記事】ボットトラフィックの攻撃に注意!社内で行える対策方法は?
captcha認証とフェイクリードプロテクションを併用しよう
ボット対策を強化するために、フェイクリードプロテクションも併用するのがおすすめです。
フェイクリードプロテクションは、高度な独自アルゴリズムにより、偽のEメールアドレスやBotなどの不正行為をリアルタイムで特定し、ブロックします。
captcha認証とは異なったアルゴリズムでBot対策をしているので、併用することでBotが突破困難になります。
captcha認証だけで防ぎきることが難しいリスク
ここでは、captcha認証だけで防ぎきることが難しいリスクを6つ解説します。
それでは、1つずつ解説します。
スパムコメント
Botを使うことで、疑わしいリンクが入っているスパムコメントを、SNSなどで大量に投稿できます。また、Web サイトの脆弱性をつきユーザーの情報を盗み取る攻撃である「クロスサイトスプリティング(XSS)攻撃」にも悪用されかねません。
スクレイピング攻撃
Botを使うと、スクレイピングも可能です。スクレイピングでは、Webサイトの更新情報やコンテンツなどの情報をスキャンして、そこから情報を盗み出します。その情報を悪用される恐れがあるのです。
アカウント乗っ取り攻撃
Botを活用することで、ブルートフォース方式などでアカウントのパスワードを特定することも可能です。その結果パスワードが特定されると、アカウントが乗っ取られて悪意を持った利用が行われる恐れがあります。
【関連記事】不正ログインの手口とは?その狙いと対策方法をご紹介
リードジェネレーション詐欺
Botを利用することで、 偽もしくは不正に入手したユーザーデータでリードを生成することも可能です。 このような形で作られたリードが流入すると、企業にとっては意味のないリード情報が増えることに加え、ネット広告だと予算が消費されるためマーケティング予算も無駄になります。
新規アカウントの不正作成
Botを使うことで、大量の新規アカウントを作成できます。これらのアカウントを悪用することで、特定のマーケティングキャンペーンに一度に応募するなど、悪意をもった利用が行われかねません。
リソースの枯渇
Botが起動すると、その分CPUのリソースが枯渇してサイトの処理速度が低下する恐れがあります。その結果、サイトの起動が遅れるなどパフォーマンスが低下すると、 ユーザー体験にも悪影響を与えかねません。
まとめ
captcha認証は、人間による操作かコンピュータによる操作かを区別するために活用される、スパム対策の自動テストです。文字・画像・音声による認証をWebサイトで行い、ボットによる不正な操作を防ぎます。
認証をクリアすればそのままログインできますが、認証が不正解の場合やVPNの利用には「私はロボットではありません」とアラートが出ます。ただ、昨今ではAIなどの技術が発展してきて、captcha認証だけではボット対策をしきれなくなってきました。ボットで攻撃をされると、スパムコメントやスクレイピング攻撃などの影響が出かねません。
そこで、自社サイトでボット対策が十分か心配な方は、Spider AFの無料診断を試してみてください。
よく見られている記事
Spider AFで競合やBotによる
不正クリックを事前に防ぎましょう
アドフラウド対策ツール
Spider AF
サービス資料をDL
