文字の読解や画像クイズをやらされる「CAPTCHA」はボットの進化と共に難度が上がっていく運命

by Duncan Rawlinson - Duncan.co - @thelastminute

ゲストユーザーがログインをする際に自らがボットではなく人間であることを証明するために、CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart)というテストのクリアを求められることがあります。間違えると何度もやり直す羽目になり、イライラしたことがある人も多いはず。そんなCAPTCHAの課題は「ボットの進化と共に徐々にクリア難度が高くなっていかざるを得ない」とThe Vergeが論じています。

Why CAPTCHAs have gotten so difficult - The Verge
https://www.theverge.com/2019/2/1/18205610/google-captcha-ai-robot-human-difficult-artificial-intelligence

CAPTCHAは、検索エンジンにスパムURLを追加しようとするボットを排除するために、1997年にAltaVistaによって開発されました。CAPTCHAの導入によってボットによるURL追加の9割以上を阻止することができたそうです。その成果が評価され、CAPTCHAは瞬く間に認証システムの要としてさまざまなサービスに採用されました。

CAPTCHAを突破するためには「歪んだ文字」の画像を見て解読し指定のフォームに入力する必要があります。この仕組みを利用して、画像認識ソフトが読み取れなかった文字を「お題」として表示し、人間に代わりに解いてもらって画像認識ソフトの精度を上げるためのデータ収集に活用する「reCAPTCHA」をカーネギーメロン大学が2007年に開発。この試みは見事に成功し、2009年にはGoogleがこの技術を買収しています。

by Alan Levine

しかし、CAPTCHAの浸透と共にボットも進化を遂げ、かなりの精度でゆがんだ文字の画像を判読できるようになり、「ボットを排除する」というCAPTCHA本来の機能が果たされなくなりつつありました。例えば2012年には、reCAPTCHAを99%以上の精度で突破するスクリプトが発表されています。

スパム避けに使われるGoogleの「reCAPTCHA」を自動的に99％以上突破するスクリプトが登場 - GIGAZINE

そこで、Googleは「No CAPTCHA reCAPTCHA」と呼ばれる新しいreCAPTCHA APIを2014年に公開しました。

No CAPTCHA reCAPTCHAでは文字入力は一切必要なく、ユーザーは「私はロボットではありません」というチェックボックスにチェックを入れるだけでOK。そして、No CAPTCHA reCAPTCHAはユーザーの振る舞いやクリック時のマウスの動きから人間かボットかを判断します。仮に人間であるにも関わらずボットだと判断されてしまっても、特定の画像を選択する問題が出され、これをクリアすれば人間だと認証されます。

2016年に行われたGoogleの講演によると、画像選択クイズを出題されたユーザーの割合はボットは99.8％、人間は33％だったとのこと。およそ3人に1人が画像選択クイズを解く羽目になっているものの、「ユーザーの中からボットを見極めて的確に排除する」という点ではNo CAPTCHA reCAPTCHAはすこぶる高い精度を持っているといえます。

しかし、Googleの努力もむなしく、ボットの精度はさらに上がっているとのこと。イリノイ大学のコンピュータサイエンス教授であるJason Polakis氏は、GoogleのCAPTCHAを70％の精度でクリアするために、Googleの画像検索を含む市販の画像認識ツールを使った実験の(PDFファイル)論文を2016年に発表しています。また、GoogleのSpeech-to-Text APIを利用して画像を音声に変換してCAPTCHAをクリアする検証も行われています。

Googleの音声認識を利用してreCAPTCHAを突破できると研究者が発表 - GIGAZINE

Polakis氏は「CAPTCHAには単に身体的能力だけではなく、文化や言語を超えた問題が求められます。平均的な人間にとって簡単な問題であると同時にコンピュータにとって困難な問題でなくてはなりません。人ができることは非常に限られています。人間がさっと解けるもので、それでいてイライラさせないものであるべきです」と述べています。

GoogleのCAPTCHAチームのエンジニアリングリーダーであるAaron Malenfant氏は、「チューリングテストからの脱却は、人間が負け続ける競争を回避することを意味します。機械学習へさらに多くの投資が注がれるようになると、CAPTCHAの課題は人間にとってますます困難になるでしょう」と述べ、2018年に登場したreCAPTCHA v3のように、5～10年後には「もはやロボットではありません」というチェックすらつける必要がなくなるだろうと予測しています。ただし、reCAPTCHAが進化を遂げる裏ではGoogleのCAPTCHAによるユーザーの行動の監視が強化されることになるため、ユーザーにとって手放しで喜べることなのかは微妙なところ。

最近では「問題を文章ではなく記号を使って抽象的に説明したり、ユーザーに図形を特定の角度に回転させたり、図形をつかったパズルを解かせたりする」というCAPTCHAも開発されています。これはプログラムは具体的で明確な指示を必要とすることを踏まえていて、文脈や状況を読み取って判断できる人間でなければ解けないような課題を出すというもの。ただし、もちろん人間が解く際にはある程度の面倒な操作や思考時間が求められます。また、拡張現実(AR)を利用してユーザーがボットにはない「人間の肉体」を持つ証明を強制するようなCAPTCHA技術も発表されていて、ボットだけではなく人間にとってもCAPTCHAのクリアが面倒で困難になっていく未来が容易に想像できます。

by Linking Paths

そんな中、Amazonは新しいCAPTCHAシステムとして「Turing test via failure(失敗によるチューリングテスト)」を考案。2017年には特許を取得しました。特許の概要には「人工知能が向上するにつれて、ボットは光学文字認識(OCR)を利用して人間と同じようにCAPTCHAをクリアすることができる。そこで、人間のユーザーが課題に対する答えを間違ってしまうような課題を提供することで、ユーザーが人間であることを確認する」とあり、錯視や論理パズルを利用した人間には解読が困難な課題を出すCAPTCHA技術になっているとのこと。

The Vergeは「結局間違えるのは人間だけだ」「CAPTCHAはこの世界に存在し続けるだろう」と述べ、結局はCAPTCHAは人間とボットのいたちごっこでしかないと評しています。