2025年のいま、ウェブを閲覧していてCAPTCHAに出会うことはほとんどない。傾いた文字を判別することもなければ、信号機の画像を選ぶグリッドを見ることもなくなった。
まれにボットを排除するためのパズルを求められることがあっても、その体験はたいていどこか非現実的だ。ある同僚が最近のパズルを共有してくれたのだが、そこではボーラーハットからフレンチベレーまで、さまざまな帽子をかぶったイヌやアヒルの画像が表示されたという。だが、そのセキュリティ質問は帽子にはまったく触れず、無情にも「4本足の動物を選べ」とだけ指示してきた。
ほかのパズルは、対象ユーザーに極端に特化している場合もある。例えば、ゲイ向け出会い系サイト「Sniffies」のCAPTCHAでは、ユーザーがスマートフォンの画面上でジョックストラップをスライドさせ、対応する下着のペアを見つけなければならない。
では、いったいCAPTCHAはどこへ消えたのだろうか? そして、いまも残るわずかなパズルが、なぜこんなにも奇妙なのだろうか? 筆者はサイバーセキュリティの専門家たちに話を聞き、この消えゆくパズルの現状と、今後さらに奇妙になっていくであろう未来について理解を深めようとした。
ボットとの摩擦、そして人間のいらだち
「CAPTCHAが最初に発明されたときの発想は、コンピューターには絶対にできない作業を課すというものでした」と語るのは、Cloudflareのアプリケーションセキュリティ検知チームを率いるリード・タトリスだ。CAPTCHA(コンピューターと人間を区別するための完全自動化された公開チューリングテスト、Completely Automated Public Turing test to tell Computers and Humans Apart)という名称は、03年に研究者たちによってつくられ、悪意ある非人間ユーザーからウェブサイトを守る手段として提案された。
初期のCAPTCHAは、歪んだ文字や数字が組み合わされた奇妙な文字列を表示し、それを見て同じように入力欄へ打ち込むというものだった。コンピューターにはその文字が何であるか判別できなかったが、人間には──たとえ目を細めて苦労しながらでも──読み取ることができたのだ。
PayPalのような金融企業や、ヤフーのようなメールサービス事業者は、この方式を使って自動ボットの侵入を防いでいた。その後、視覚障害者や弱視者の支援団体からの要望を受け、多くのウェブサイトが正答を音声で読み上げる機能を追加した。団体のメンバーもまた正真正銘の人間ユーザーだったが、視覚に依存したパズルを解くことができなかったのだ。
CAPTCHAの役割の変化
単にボットを排除するだけでなく、パズルそのものを有用なデータ生成の手段にできないか? そうした発想から生まれたのが、07年に登場した「reCAPTCHA」だった。reCAPTCHAでは、当時の機械学習アルゴリズムでは読み取れなかった単語をユーザーに識別させることで、印刷物をデジタル化する作業を大幅に効率化したのだ。この技術はすぐにグーグルに買収され、同社の書籍デジタル化プロジェクトを支える重要な技術となった。
機械学習の性能が向上し、歪んだ文字を読み取れるようになると、オンラインのセキュリティチェックもボットが突破しにくいよう、さらに複雑な形式へと進化した。次世代のreCAPTCHAでは、複数の画像が並ぶグリッド形式が導入され、ユーザーはバイクに乗っている人が写っている写真をすべて選ぶ必要があった。ここで得られたデータは、グーグルが自社のオンライン地図サービスの精度を向上させるためにも活用された。
しかし、オンラインのセキュリティ課題がどんどん難しくなるにつれて、ユーザーのいらだちも増していった。人間であることを証明するために、ますます複雑で意味不明な質問に答えさせられるようになったのだ。プライバシー重視の代替サービス「hCAPTCHA」では、ユーザーに「笑っているイヌ」をすべて選ぶという画像判定パズルが出されたこともある。なんとも不可解な話である。
「完全に見えない存在」となったCAPTCHA
グーグルが18年にリリースした「reCAPTCHA v3」は、ユーザーがオンライン上でCAPTCHAを目にする頻度を大幅に減らす、大きな転換点となった。
「ユーザーの操作を中断させるのではなく、わたしたちの技術はインタラクション中の信号や行動を解析し、リスクスコアを生成します。サイト運営者はそのスコアに基づいて対応を判断できるのです」と、Google Cloudのプロダクト・マネジメント・ディレクターであるティム・クヌーセンは『WIRED』へのメールで説明する。この方式によって、人間のユーザーとシリコン(機械)とを高精度に見分けられるようになり、この世代のボット対策技術は大多数のウェブ利用者にとって「完全に見えない存在」となった。
その数年後の22年、Cloudflareは「Turnstile」という新たなreCAPTCHA代替技術を発表した。これは、人間が課題を解く方式から、利用パターンの解析によるボット検知へとさらに一歩進んだ大きな転換だった。標準的なreCAPTCHAと同様に、Turnstileもウェブサイトに無料で導入できる。
名前を覚えていないかもしれないが、あなたもおそらく一度はTurnstileに遭遇しているはずだ。それは、自分が人間であることを証明するために、ボックスをクリックするといった、一見ランダムに現れるあの要求である。
ユーザー側から見ると、Turnstileはただのチェックボックスのように見えることもある。だが、実際はもっと複雑だ。「クリックしたからといって、通過したという意味ではまったくありません」とタトリスは言う。「それは、クライアントやデバイス、ソフトウェアからより多くの情報を取得し、状況を把握するための手段なんです」。そうして収集したデータをもとに、ユーザーがそのサイトにアクセスできるかどうかが判断される。
主要企業が自社のセキュリティソフトを無料で提供するのには、明確な理由がある。「CloudflareがTurnstileをインターネット全体に無料で提供しているのは、より多くのトレーニングデータを得るためです」とタトリスは説明する。「わたしたちはインターネット上のHTTPリクエスト全体のうち、約20%を観測しています。つまり、その膨大なデータセットを得ることで、人間がページ上でどのように振る舞うか、そしてボットがどう動くかの違いをより正確に理解できるようになるのです」
グーグルのクヌーセンも、視覚的なパズルは今後も残るだろうが、ウェブ保護における重要性と頻度はますます低下すると予測している。
AI時代の人間テスト
いまや多くのボット対策は、ユーザーの操作をほとんど、あるいはまったく必要としなくなった。それでも、常軌を逸したようなCAPTCHAは、まれにではあるが、生き残っている。
最近になってCAPTCHA分野に参入したのが、セキュリティ企業のArkose Labsだ。同社が提供する有料サービス「MatchKey」は、そもそもボットを遮断すること自体が目的ではない。「わたしたちの製品のひとつに、いわゆるCAPTCHAと呼ばれるパズルがあります」と、創業者で最高経営責任者(CEO)のケビン・ゴスチャークは語る。「ですが、その目的は人間を見分けることではなく、攻撃のコストを引き上げることです」
彼の課題の狙いは、ウェブサイトへの攻撃を実行するコストを極端に高くして、もはや採算が取れないようにすることだ。パズルは文脈に応じて最適化され、攻撃を思いとどまらせる設計になっている。例えば、誰かが報酬を得るために手作業でセキュリティ課題を解いていると検知した場合は、Arkoseはあえて時間のかかるタスクを出題したり、正答であっても時折意図的に不合格にしたりすることがある。
「コスト耐性」対策の一環として、同社は大規模言語モデル(LLM)やそのほかの生成AIツールを使った攻撃を防ぐためのMatchKeyバージョンも販売している。「LLMを打ち負かすには、それが見たことも、知るはずもないような新奇で異質なものを提示することです」とゴスチャークは説明する。彼が挙げる例は、例えば池に浮かぶカエルの偽写真──ただしそのカエルは鳥の頭をもち、水面には馬の姿が映り込んでいる──といった奇妙なコラージュ画像について質問するようなものだ。こうした混成的な画像は、AIモデルがこれまでに見たことがない可能性が高い。
これから数カ月、あるいは数年のうちに、もし再びオンライン上でセキュリティ課題に出会うことがあっても、あの初期の形式が戻ってくることはないだろう。“歪んだ文字と数字のごちゃ混ぜ”に出会えなくなって、少し恋しくなるなんて思わなかった。
これからのセキュリティ課題はどう変わる?
おなじみの課題形式も、いずれは姿を消すかもしれない。「古典的なビジュアルパズルは広く知られていますが、わたしたちはすでに新しい形式──QRコードをスキャンしたり、特定の手の動作をしてもらったり──といった課題を導入しています」と、グーグルのクヌーセンは語る。こうした手法を用いれば、ユーザーを混乱させることなく、適度な摩擦を加えることができるのだ。
このようなセキュリティ対策の成功は、既存の脅威をどれだけ防げるかだけで測られるものではない。重要なのは、絶えず変化する新たな攻撃の波を、企業がいかに迅速に検知し、未然に防げるかという点にある。「2年後に立ち上げなければならない新しい検知システムは、いまのものとはまったく異なるでしょう」とCloudflareのタトリスは語る。
セキュリティ課題は今後、どんな方向へ進むかわからない。それがますます奇妙になり、裏で動く仕組みが複雑になっていくとしても、わたしはただ願う。オンライン上で、自分が人間であることをこれからも証明できますように。なにせ、昔からテストはあまり得意ではないから。
(Originally published on wired.com, translated by Eimi Yamamitsu, edited by Mamiko Nakano)
※『WIRED』によるセキュリティの関連記事はこちら。
雑誌『WIRED』日本版 VOL.57
「The Big Interview 未来を実装する者たち」発売中!
気鋭のAI研究者たちやユヴァル・ノア・ハラリが語る「人類とAGIの未来」。伝説のゲームクリエイター・小島秀夫や小説家・川上未映子の「創作にかける思い」。大阪・関西万博で壮大なビジョンを実現した建築家・藤本壮介やアーティストの落合陽一。ビル・ゲイツの回顧録。さらには不老不死を追い求める富豪のブライアン・ジョンソン、パリ五輪金メダリストのBガール・AMIまで──。未来をつくるヴォイスが、ここに。グローバルメディア『WIRED』が総力を結集し、世界を動かす“本音”を届ける人気シリーズ「The Big Interview」の決定版!!詳細はこちら。