reCAPTCHA認証の種類|フォームのスパム・セキュリティ対策

セキュリティ
セキュリティ

スパム対策として、多くのWebサイトやWebサービスに導入されているreCAPTCHA。

自社のWebサイトにも導入したいとお考えの方も多いでしょう。

この記事では、reCAPTCHAの導入を検討されている方に向けて、reCAPTCHAの種類や導入方法について詳しく解説します。

reCAPTCHA認証の実装がカンタンにできるフォームツールをお探しなら、クライゼルのフォーム作成ツールをご利用ください。

ご利用中フォームのセキュリティが心配なら、フォームセキュリティチェックシートで貴社フォームをチェックしてみませんか。ウンロードはこちら↓

reCAPTCHAはGoogle開発の人間とbotを区別するためのシステム

reCAPTCHAGoogleが提供しているセキュリティツールです

サイトにアクセスしたユーザーが人間かbotかを判別し、botによる攻撃を未然に防ぎます。

基本的に無料で設置することができ、効果的なスパム対策として、広く活用されています。

従来のCAPTCHA認証の種類

reCAPTCHAようにbotを判別する認証システムを、CAPTCHA認証と呼びます。

ここでは、CAPTCHA認証の主な種類を4つご紹介します。

文字を重ねたり、ゆがめたりする「Gimpy」

1つ目は、歪んだ文字などを正しく読み取れるかによって判別行う「Gimpy」と呼ばれる種類です。

CAPTCHA認証の方法として広く普及していましたが、現在はOCR技術(画像データのテキスト部分を認識し、文字データに変換する文字認識機能)が高精度になっていることから、安全とは言えなくなっいます。

写真で判別する「Pix」

2つ目は、並べられた写真の中から、指定された内容の写真を選択する「Pix」と呼ばれる種類です。

9分割または16分割された写真の中で、特定の対象物を含んだパーツを選ぶ、といった形で判別されます。

鮮明な画像から特定の対象物を選択するはコンピューターには難しい問題である一方、人間比較的容易にクリアできることから、CAPTCHA認証の方法として普及しています。

形で判別する「Bongo」

3つ目は図形が描かれた画像の中から、指定された内容の画像を選択する「Bongo」と呼ばれる種類です。

音で判別する「Sounds」

4つ目は音声を聞き取って判別する「Sounds」と呼ばれる種類です。

流れる音声から数字を聞き取って入力するなどして判別します。

バックにノイズを流すなど、コンピューターでは聞き取りづらいよう工夫されています。

ご利用中のフォームは何点!
セキュリティチェックシートをダウンロードして
ご利用中のフォームをチェックしましょう

Google開発のreCAPTCHAの種類

reCAPTCHAは改良が重ねられており、現在は最新版としてv3が公開されています。

ここでは、バージョンの種類と特徴について説明します。

reCAPTCHA v1

reCAPTCHA v1は、歪んだ文字を読み取る「Gimpy」方式を採用していました。

しかし、OCR(画像データのテキスト部分を認識し、文字データに変換する文字認識機能)による解析技術が向上したことから、2018年に提供を終了しています。

reCAPTCHA v2

続くreCAPTCHA v2は、「私はロボットでありません」のチェックボックスにチェックをしてもらい、botの可能性がある場合に「Pix」画像認証方式入力を求めるものです

このバージョンは現在も提供されています。

reCAPTCHA v2 invisible

reCAPTCHA v2 invisibleは、「私はロボットでありません」のチェックボックスを表示せず、送信ボタンを押した際にbotかどうかの判別がされるものです

reCAPTCHAの存在を認識させないことで、ユーザーの心理的負担を軽減します。

送信ボタンを押した際にbotの可能性があると判断された場合には、v2と同様の画像認証が求められます。

reCAPTCHA v3

最新版のreCAPTCHA v3ではさらに改良され、ユーザーにアクションを求めることなく、機械学習によって自動で人間かどうかを判別する仕組みになりました。

閲覧時間やマウスポインターの動き、IPアドレスやブラウザ情報などから、総合的にスコア判定されます。

これによって、ユーザビリティを下げることなくスパム対策が可能となりました。

以下の記事では、最新版のreCAPTCHA v3について詳しく紹介しています。

ぜひあわせてご一読ください。

関連記事:reCAPTCHA v3のメリット・デメリット|フォームのスパム・セキュリティ対策

reCAPTCHAの導入には専門的知識が必要

ここで、reCAPTCHAを導入する際に必要な設定について、簡単ご紹介します。

プログラミングの知識がある方であれば、比較的容易に設定可能ですが、プログラミングの知識ない方には困難な内容となっています。

クライアント側実装におけるトークンやbot判定時の動作設定

まずはGoogleのサイトから、設定に必要なサイトキーとシークレットキーを取得します。

次に、クライアント側の実装として、HTML内にreCAPTCHAのJavaScriptを組み込みます。

この時、サイトキーを使用します

また、トークン取得のタイミングやbot判定時の動作を検討し、ここで実装します

v3の場合は、トークンの取得から実装する必要があるため注意が必要です。

トークンの有効期限は2分程度となりますので、タイムアウトにならないよう、サーバーに送信する直前としておくが良いでしょう。

サーバー側実装におけるjsonでのレスポンス判定スコアの設定

次にサーバー側にも実装します。

サーバー側の設定時にシークレットキーを使用します。

またv3の場合は、スコアの「しきい値」を設定する必要があります

スコアは0.0〜1.0で判定され、スコアが低いほどbotの可能性が高くなります

Googleによると0.5が人間とbotのしきい値されていますが、自社に合わせた設定可能です。

WebフォームからCRMまでの施策をセキュアに行えるクライゼル

reCAPTCHAをはじめとするセキュリティ対策はユーザーと自社サイバー攻撃の脅威から守る上で欠かせないものです。

サイバー攻撃の手口が巧妙化する中で、セキュリティ対策を講じる側も最新の技術などを取り入れながら対応していかなければいけません。

こうしたセキュリティ対策を自社で講じていくが難しい場合には、セキュアなASPツールなどを活用するも一つの手と言えます。

Webフォーム構築用のASPとして人気の「クライゼル」は、多機能・高セキュリティで官公庁や金融機関などでも導入されている安心なツールです。

標準機能でreCAPTCHA v3に対応しているほか、SSLや侵入検知システムなど、フォーム運用に求められるセキュリティ対策が揃っています。

さらに多様な目的のフォームを作成できるだけでなく、メルマガ配信や会員サイト作成まで、オンラインマーケティングに必要な機能が詰まっています。

フォーム運用やセキュリティ対策にお悩みの方はぜひクライゼルをご活用ください。

高機能でカンタンBtoB、BtoCどちらも対応
reCAPTCHA v3がカンタンに設置できるクライゼル・クライゼルライト

弊社の多彩な業務で使える高セキュリティなCRMプラットフォーム「クライゼル」のカタログは下記からダウンロードいただけます。機能・料金表の記載もありますので、ぜひご覧ください。
服部誠

トライコーン(株)取締役兼マーケティング統括。
Web広告、CRM、CDP、データ可視化などお客様のwebマーケティングの課題解決に長年従事。
Salesforce Marketing cloud メールスペシャリスト / アドミニストレータ / コンサルタントおよび、Salesforce アドミニストレータの各認定資格を保持。

服部誠をフォローする
トライコーンラボ
タイトルとURLをコピーしました