ホームページのお問い合わせ欄や、ログインをしようと思った際に上の画像のような「私はロボットではありません」といったチェック項目が表示されたことや、「信号機の画像を選んでください」といったパズルを解かされた経験はありませんか？

急いでいるときに限って何度もやり直しをさせられイライラ……なんていう経験も。

現代のインターネット空間において、私たちの情報やサイトの安全を守るために不可欠な認証システムなのですが、これっていったい何なのでしょう？いったいどのような観点から人間とロボットを区別しているのでしょうか？

今回はその正体であるGoogleの「reCAPTCHA（リキャプチャ）」を中心に、その仕組みと最新のトレンドについて解説します。

「私はロボットではありません」の正体

ホームページに表示される「私はロボットではありません」の正体は、Google社が提供しているreCAPTCHA（キャプチャ）と呼ばれるものです。

「私はロボットではありません」という文言の通り、人間とコンピューター（ボット）を区別するためのプログラムです。
ウィルスに感染して表示された、というわけではないのでご安心を。

ボットとは、特定の動作を自動で高速に繰り返す悪質なプログラムのことです。
これらが放置されると、お問い合わせフォームから大量のスパムメールが送りつけられたり、不正アクセスを試みられたりといった被害が発生します。

reCAPTCHA（リキャプチャ）にも種類がある

reCAPTCHAは、ユーザーが画像を選択するだけで認証を完了できるという、使い勝手の良いシステムのため多く利用され、その分目にする機会も多いと思います。

その中でも現在、reCAPTCHA v2とreCAPTCHA v3というバージョンの認証方法が使われています。

reCAPTCHA v2：おなじみの「チェックボックス」

reCAPTCHA v3：ストレスフリーな「不可視」タイプ

セキュリティのためといっても、何回も画像選択やチェックボックスの操作をさせられるとそれがストレスでユーザーとしては使い勝手は良くないかもしれません。
実は画像選択をしなくていいreCAPTCHAもあるのです。

このホームページの右下をご覧ください。
矢印が円形になっているロゴマークがあるのが分かりますでしょうか。

カーソルを重ねると「reCAPTCHA で保護されています」と表示されますが、実はこれが画像選択のいらない最新のreCAPTCHA v3が導入されているマークです。

v2が画像を選択してもらって人間とロボットを分けているのに対し、v3はユーザーがページ内でどのように動いているかを機械学習で分析し、その「人間らしさ」を0.0から1.0のスコアで判定します。

 

【注意】reCAPTCHAに似た偽物に気を付けて！

実は近年、reCAPTCHAに似た偽物の認証画面を表示させ、その画面の手順を行うことで端末が乗っ取られたり、個人情報やクレジットカードの情報を抜き取ろうとする被害が起きています。
特に多いのが、パソコンでの閲覧時に操作を求めてくるタイプです。

本物のreCAPTCHAは、画像の認証やチェックボックスの操作は求めてきますが、
「○○キーと○○キーを押してください」といった、キーボードの操作を求めてくることはありません。

自分の手でマルウェア（悪意のあるプログラム）をインストールさせようとする手口のため、キー操作を求められたり、デザインにおかしなところがあれば（本ページで紹介している画像は全て本物です）、絶対にその画面には従わず、すぐにそのページやブラウザを閉じましょう。

reCAPTCHA v2 と reCAPTCHA v3 はどっちを使うべき？

「v3の方が新しいのなら、そっちの方がいいんじゃないの？」
と思われるかもしれませんが、実は必ずしもv3が良いとは言い切れないのです。
v2とv3どっちの方がいいのか、というのは状況やニーズによるとしか言えません。

現状人の手が加わるといった意味では、v2の方がセキュリティ性に長けているかもしれませんが、認証が何度も何度も表示されて全然次に進めない場合があったり、最近では恐ろしいことにそのv2の認証を高確率で突破できるAIもあるのです。

かといってv3を導入しても、ちゃんと人間なのにスコアで誤判定をくらってしまうと、強制的にページから離脱させられたりすることもあります。
また、WordPressなどのCMSでreCAPTCHA導入が簡単に出来るプラグインなどがある場合はv3でも簡単に設置が出来るのですが、そうでない場合はv2に比べると設置が難しいという点もあります。

なのでどちらがいいと断言することはできないのですが、参考として以下のような場合はこちらがおすすめです。

・サイト全体にボット対策をしておきたい場合
・ユーザーの使いやすさを重視する場合
→ v3がおすすめ

・お問い合わせフォームなどのスパム対策としてだけ使いたい場合
・ユーザーに分かりやすい認証方法を求める場合
→v2がおすすめ

もちろん上記のような条件でも適さない場合もありますので、迷ったら詳しい方に相談してみるのが良いでしょう。

【デメリット】reCAPTCHAのリクエスト数が多いとお金がかかるように

2026年から管理がGoogle Cloudプロジェクトへ統合されることとなり、その変更に伴ってGoogle Cloudの料金形態が適応されるようになりました。

お金がかかる・かからないの線引きは「reCAPTCHAの動いた回数が月に10,000件以上達するかどうか」です。

・Essentials（エッセンシャルズ）
毎月10,000 件までは無料。
10,000 件を超えると、その時点でその月のリキャプチャの機能が止まる、もしくは次のStandardが適応される。

・Standard（スタンダード）　※月払いのみ
毎月10,000 件までは無料。
それ超えると8ドル課金となり、100,000件まで利用可能。
これをさらに超えると次のEnterpriseが適応される。

・Enterprise（エンタープライズ）
毎月10,000 件までは無料。
100,000件を超えると、その後は1,000 件 / $1の金額が課金され上限はなし。

reCAPTCHAは基本的に、お問い合わせやコメントの送信、会員登録やログイン時などに動きます。
reCAPTCHAホームページに導入したい場合は、ホームページ自体の仕様や規模感、アクセス数などを見ながら、月に10,000件を超えるかどうか、お金を払ってでも使うかどうかを見極める必要があります。

reCAPTCHA以外の認証システムという選択肢もある

他社が提供している他の認証システムを導入するという選択肢もあります。
中でも最近注目されているのが、Cloudflare Turnstile（クラウドフレア・ターンスタンプ）という新しい認証システムです。

Cloudflare（クラウドフレア）という会社が提供している認証システムなのですが、
reCAPTCHAのように「行動を追跡する」のではなく、「ブラウザの性能と特徴」をチェックして人間かどうかを判断します。

Cloudflare Turnstileでは、ロボットにはできない、人間のデバイスならではの処理速度をチェックしたり、ブラウザの設定などから人間かどうかを判断します。
reCAPTCHAようなの画像認証はなく、チェックボックスが表示されるだけなので、操作がスムーズで良いという好印象な意見が多く見られます。

reCAPTCHAと比べると比較的新しいサービスにはなるので、reCAPTCHAが何年もかけて解決してきた複雑で巧妙なスパム手法に対し、Cloudflare Turnstileが今後も継続的に防御力を発揮し続けるかという点は、長い目で見て評価していく必要があります。

まとめ

「私はロボットではありません」の正体は、reCAPTCHAというGoogleが提供している認証システムのことでした。

reCAPTCHAは、何度も画像を認証をさせられてユーザーにとっては使い勝手が悪いという意見もあります。
ですがこれはサイト運営者にとって、スパムメールの受信や不正アクセスを防ぐための重要なツールだということがご理解いただけましたでしょうか。

reCAPTCHAは完璧なシステムではないので100％不正アクセスを防ぐことはできませんが、すでにそういったことでお困りの方や、大量のスパムメールが届いて困っている方はreCAPTCHAの導入も検討してみてくださいね。

最後にホームページをお持ちのユーザー様、セキュリティ対策は万全でしょうか。
少しでも不安がある方や、ホームページの運用で困っている方、セキュリティ対策を重視してリニューアルしたい方などがいましたら、ぜひ一度弊社へご相談・お問い合わせください。

弊社の保守管理・運用サービスはこちらからご確認ください。クレフの保守管理体制や各種料金表も掲載しています。

参考：https://www.google.com/recaptcha/about/