2021年05月17日 11時11分 ネットサービス

Cloudflareが「CAPTCHAの狂気」からの完全脱却を表明、物理セキュリティキーを使うシステムを提案



サービスを利用する際にユーザー自らが人間であることを証明するために、CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart)というテストのクリアを求められることがあります。Cloudflareが「CAPTCHAによる文字・画像の認識を完全に取り除く」と表明し、物理セキュリティキーを用いた新システム「Cryptographic Attestation of Personhood」を提案しました。



Humanity wastes about 500 years per day on CAPTCHAs. It’s time to end this madness

https://blog.cloudflare.com/introducing-cryptographic-attestation-of-personhood/



Cloudflare wants to kill the CAPTCHA | ZDNet

https://www.zdnet.com/article/cloudflare-wants-to-kill-the-captcha/



CAPTCHAは、ボットによるスパムの追加を削減するために、1997年に検索エンジンのAltaVistaによって開発されました。CAPTCHAは、画像認識が難しいようにわざとゆがめられたランダムな文字や数字の列を表示し、人間の手で入力させることでユーザーが人間であることを証明するというもの。CAPTCHAと同様のシステムはいくつも存在し、バスや消火栓の画像を選択させるreCAPTCHAはGoogleによって開発され、多くのウェブサービスで使われています。





Cloudflareのデータによれば、ユーザーがCAPTCHAの画像判別テストをクリアするのに平均で32秒かかるとのこと。全世界で46億人のインターネットユーザーが存在し、1人が10日ごとに1つのCAPTCHAをクリアしていると考えた場合、「人間が人間であることを証明するため」だけに合計500年分の時間が無駄になっているとCloudflareは主張しています。



CloudflareはCAPTCHAの問題点として、以下の4点を挙げています。



◆1:生産性

ユーザーが目の前のタスクを処理するために必要な時間を奪い、イライラさせます。



◆2:アクセシビリティ

CAPTCHAのテストをクリアするためには一定の身体的および認知的能力が求められます。例えば、視覚障害を抱えている場合、CAPTCHAのテストをクリアすることが困難になります。



◆3:文化的知識

例えば、テストで選ばされる「消火栓」はアメリカのものが多いですが、アメリカの消火栓がどんなものなのかは他国の人からは分かりづらいものがあります。「タクシー」は、ニューヨークでは一般的に黄色ですが、ロンドンでは黒塗りであることが多く、地域によってCAPTCHAのテストの難度が大きく変わります。



◆4:モバイルデバイスでのインタラクション

今やインターネットにアクセスするデバイスの多くが手元で簡単に操作できるスマートフォンとなっています。しかし、CAPTCHAのテストはスマートフォンの小さな画面でクリアするのは難しく、通信帯域やバッテリーの無駄にもなります。



CAPTCHAによってユーザーに時間的コストを費やさせることは企業にとってもコストになり、結果的にCAPTCHAが企業とユーザーの間に擦れ違いを生む原因になっていると、Cloudflareは指摘しています。





CAPTCHAからの完全脱却を唱えるCloudflareは、CAPTCHAの代替案として「Cryptographic Attestation of Personhood(人間性の暗号化証明)」という方法を提案しました。Cryptographic Attestation of Personhoodはパスワード不要のWebAuthnに基づいており、Windows・macOS・Ubuntu・iOS 14.5以降のすべてのブラウザ、Android 10以降のChromeで機能します。



Cryptographic Attestation of Personhoodは試験的に公開されており、以下のサイトでテスト可能。



Attention Required! | Cloudflare

https://cloudflarechallenge.com/



サイトにある「I am human(beta)」をクリックします。





セキュリティキーのセットアップが立ち上がるので、物理セキュリティキーをPCに接続します。





すると、ユーザーが人間であることの証明書が暗号化された状態でCloudflareへ送信されます。その後、物理セキュリティキーにタッチすると、人間であることが証明されるという仕組みです。Cryptographic Attestation of Personhoodの認証はユーザーのデバイスに一意にリンクされないため、ユーザーのプライバシーを保護します。





Cloudflareは、「我々の調査によれば、ユーザーは写真をクリックするよりも物理セキュリティキーに触れる方を強く好むことが分かりました」と述べており、Cryptographic Attestation of Personhoodは従来のCAPTCHAに比べてセキュリティと使いやすさが保証されているとしています。



ただし、物理セキュリティキーのタッチだけで人間であることを証明するシステムを不安視する向きもあり、「Cryptographic Attestation of Personhoodでは、ボットを排除できないのでは」と懸念する声も挙がっています。実際に物理セキュリティキーのタッチを自動化する方法がTwitterにすでに登場しており、こうした自動化システムが悪用される可能性についてはCloudflareも認めています。





なお、Cryptographic Attestation of Personhoodは試験段階で、対応している物理セキュリティキーは、記事作成時点ではYubiKeyなど一部に限られていますが、将来的にはもっと多くのセキュリティキーにも対応する予定だとのこと。



最後にCloudflareは、「私たちにとって、Cryptographic Attestation of Personhoodは常に『より良いインターネットの構築を支援すること』に帰結します。私たちは『ユーザーはインターネットで1日に500年を無駄にしている』『20年前から誰もCAPTCHAを根本から見直さなかった』という見解を持っており、ばかばかしく思っていました」と述べ、「インターネットで見る消火栓は廃止されることになりました。もう必要ありません」と宣言しました。