GoogleのreCAPTCHAはどうやって人間とボットを見分けているのか？

Googleが開発を進めるウェブサイトの認証システム「reCAPTCHA」は、人間とボットを区別するためのシステムです。これまでの人間とボットを見分けるシステムの多くは歪んだ文字を読んで手入力したり、条件にふさわしい画像を複数選択したりといった作業で見分けられていましたが、こうしたテストはユーザーにとって非常に煩わしいもの。そこで、Googleはクリック一発で文字入力も画像選択も不要なreCAPTCHAを開発しています。reCAPTCHAがいったいどういった仕組みで人間とボットを見分けているのか、ソフトウェア企業のSilktideのCEOであるOliver Emberton氏が解説しています。

`Oliver Emberton's answer to Why can't bots check “I am not a robot” checkboxes? - Quora
https://www.quora.com/Why-cant-bots-check-%E2%80%9CI-am-not-a-robot%E2%80%9D-checkboxes/answer/Oliver-Emberton

なぜボットにとってGoogleのreCAPTCHAをクリアすることが難しいのかについて、Emberton氏は「Googleは人間の行動パターンに関する膨大なデータを持っているから」と答えています。人間はどうやってコンピューターを操作し、どんなタイミングでどれほどの頻度でウェブサービスを利用しているかなど数多くの要素をチェックすることで、reCAPTCHAは人間かボットかを見極めているとのこと。

人間かボットかを分析するため、少なくともGoogle reCAPTCHA v2では以下の要素がチェックされているそうです。

・使っているコンピューターのタイムゾーンと時間
・IPアドレスとおおよその場所
・使っているコンピューターの画面サイズと解像度
・使っているウェブブラウザ
・使っているプラグインや拡張機能
・ページの表示に要した時間
・マウスをクリックした回数や、タップやスクロールの回数

また、Googleはウェブブラウザの中に「Fingerprint(指紋)」と呼ばれる目に見えないテキストや画像を描いて、それをGoogleに確認のために送信させるということを行っているとのこと。このFingerprintの表示速度やその結果をGoogleのサーバーで解析することで、人間とボットを見分ける手がかりを得ているそうです。

そして、こうして収集されたデータのすべてを分析するために用いられるのが、これまでに蓄積された膨大なGoogleのデータです。インターネット上の多くの人が検索・メール・広告・地図など、Googleが提供するサービスを利用しています。チェックボックスをクリックすると、Googleはブラウザの履歴を確認して、人並みにGoogleのサービスを利用しているかどうかも確認するとのこと。「そんなことで果たして人間かどうか分かるのか？」と思ってしまいがちですが、Googleが得ている人間のデータの規模は何十億人分にも渡るため、分析することはとても簡単だとEmberton氏は述べています。

Googleがどうやってこの情報すべてを正確にチェックしているのかを知ることは不可能で、ほぼ確実にプライベートサーバーで機械学習を用いているため、部外者がGoogleのreCAPTCHAシステムをコピーすることはできないとのこと。ここまで進化を重ねればreCAPTCHAをクリアすることなど到底不可能に思えますが、それでもプログラムでreCAPTHCAを攻略可能という研究が発表されるなど、いたちごっこの状態となっています。Googleが人間とボットを見分けるアプローチでreCAPTCHAを開発する一方で、進化するAIテクノロジーはreCAPTCHAをだますことに適しているとEmberton氏は主張しています。

by Duncan Rawlinson - Duncan.co - @thelastminute

ただし、Emberton氏が述べる仕組みはあくまでもGoogle reCAPTCHA v2の時点のものだとのこと。記事作成時点で最新のGoogle reCAPTCHA v3がどのように機能しているのか、その仕組みについては全く手がかりを持っていないとEmberton氏は述べています。