ボットと人間を自動的に見分ける「reCAPTCHA v3」のダークサイドとは？

by Jonny Lindner

ウェブサイトの認証画面で「私はロボットではありません」にチェックを入れたり、信号機や横断歩道の画像を選んでクリックしたりした経験がある人は多いはずですが、最新版のボット排斥ツール「reCAPTCHA v3」なら人間のユーザーは「何もしなくても」自分が人間だと証明することが可能です。しかし、そんな「reCAPTCHA v3」にはあるやっかいな点があるとIT系経済メディアFast Companyが警鐘を鳴らしています。

Google's new reCaptcha has a dark side
https://www.fastcompany.com/90369697/googles-new-recaptcha-has-a-dark-side

Googleが提供するボット排斥ツールの新バージョン「reCAPTCHA v3」は、リスク分析エンジンによりサイト内でのユーザーの行動をスコアとして評価してボットかどうかを見分けるため、従来の「reCAPTCHA」とは異なり、ユーザーは歪んだ文字を見て入力欄に打ち込むといった面倒な操作をする必要が一切ありません。

reCAPTCHA v3の仕組みは以下の記事を読むとよく分かります。

ボット排斥ツールの新型「reCAPTCHA v3」登場、すべてのページに導入することでユーザーの作業は一切不要にまで進化 - GIGAZINE

このシステムは非常に便利で手間いらずですが、技術コンサルタントのマルコス・ペローナ氏は「利便性の影でユーザーのプライバシーが犠牲になっています」と指摘しています。その理由は、reCAPTCHA v3がユーザーを評価するのにCookieを使用しているという点にあります。

ペローナ氏がreCAPTCHA v3の動作をテストしたところ、「reCAPTCHAはGoogleアカウントにログイン済みのブラウザでアクセスすると、常にボットのリスクが低いと評価する」という傾向があることを発見したとのこと。その一方で、TorやVPNを用いたブラウザからアクセスすると、問答無用でボットのリスクが高いとみなされてしまうことも分かっています。

よりやっかいなのが、「reCAPTCHA v3はログイン画面などに限らず、基本的にサイトのすべてのウェブページに導入される」という点です。これには、サイト内でのユーザーのふるまいをつぶさに観察することで、ボットを見分けるリスク評価の精度を高めるという合理的な理由があります。しかし、これは見方を変えればreCAPTCHAを導入しているサイトにアクセスすると、ユーザーのあらゆる振る舞いがGoogleに筒抜けになるということでもあります。

by geralt

さらに、ウェブページに埋め込まれたreCAPTCHAはFacebookの「いいね」ボタンと同様の仕組みでソーシャルメディア機能に対応しているため、reCAPTCHAの影響は特定のサイトを超えてSNSにまで及ぶ可能性もあります。この点についてはGoogleも注意を払っており、Googleは「reCAPTCHAで取得されたデータは、広告のターゲティングやユーザーの興味や関心の分析には使用しない」と発表しています。

ペローナ氏はreCAPTCHAに限らず、インターネット上での利便性は「常に諸刃の剣のようなものです」と語り、安全でストレスフリーなインターネットを享受するためには、プライバシーがトレードオフになることが避けがたいとの見解を述べています。