セキュリティ

AI時代において「CAPTCHA」に意味はあるのか?


ウェブサイトのログインやフォーム入力時には画像の中から特定の物体を選ぶもの、「私はロボットではありません」というチェックボックスをクリックするもの、パズルのピースを正しい位置に合わせるものなどさまざまな認証テストが使われています。こうした認証テストは「CAPTCHA」と呼ばれ人間とボットを見分けるために使われてきましたが、AIの進歩によって有効性が疑問視されていると科学系メディアのLive Scienceが解説しています。

Are CAPTCHAs obsolete in the age of AI? | Live Science
https://www.livescience.com/technology/are-captchas-obsolete-in-the-age-of-ai


スイス連邦工科大学チューリッヒ校のコンピューター科学者であるアンドレアス・プレスナー氏はLive Scienceに対し、「CAPTCHAは1990年代後半に、問いとしては単純でも解決は非常に難しい問題に対処するため導入された」と説明しています。その問題とは、相手を直接確認できない時に、操作しているのがコンピューターなのか人間なのかをどう見分けるかというものです。

CAPTCHAはボットによるコメントスパム・ファイルの自動ダウンロード・アカウント乗っ取りなどを防ぐため、「人間なら簡単にできるが機械には難しい作業」をユーザーに求めてきました。初期のCAPTCHAには当時の文字認識ソフトが苦手としていたゆがんだ文字を読み取らせるものが多くありましたが、文字認識ソフトの性能向上に伴い別の方式が開発されました。


その代表例の1つが広く使われているCAPTCHAサービス「reCAPTCHA」です。Googleが2009年にreCAPTCHAを買収した後、Googleストリートビューの写真を使って信号機・バイク・自転車などを画像の中から選ぶテストが使われるようになりました。国連大学のCampus Computing Centreで最高情報責任者兼ディレクターを務めるNg Chong氏は、「Googleストリートビューの写真を使ったテストは、雑然とした現実世界の写真から物体を認識することはまだ人間にしかできないはずという前提に立っていました」と説明しています。

その後、Googleは2014年に「reCAPTCHA v2」を発表しました。reCAPTCHA v2はユーザーにチェックボックスをクリックさせ、マウス操作を分析することで人間かどうかを判断する仕組みです。クリック前のサイト上での操作やクリックのタイミングなどから不審だと判定されると、追加の認証として画像グリッドが表示されます。


しかし、画像認識はもはや人間だけの得意分野ではなくなっています。2016年には低コストの深層学習技術を使ってreCAPTCHA v2を約70%の確率で解けることが研究者によって報告されました。さらに2024年にはプレスナー氏らがreCAPTCHA v2のパズルを100%正しく解けるAIモデルを開発しました。

自分がロボットでないことを示すGoogleの「reCAPTCHA v2」をAIで突破することに成功 - GIGAZINE


Chong氏も2026年初め、人間らしいブラウジング行動をまねることでreCAPTCHA v2を通過できる場合があるツールを作ったとのことで、「画像パズルと行動判定の両方を1台のノートPCで動かせる一般的なツールで突破できるなら、人間にはできるが機械にはできない作業があるというCAPTCHAの根本的な前提は成り立たなくなります」と述べています。

ただしCAPTCHAが完全に役割を失ったわけではありません。プレスナー氏らのモデルはreCAPTCHA v2を突破しましたが、CAPTCHAにはパズルの正誤だけでは判断されない安全対策もあります。プレスナー氏は研究中、同じIPアドレスから大量のCAPTCHAを解くと問題の難易度が上がったり完全にブロックされたりしたため、VPNでテストごとにIPアドレスを変更したとのこと。プレスナー氏は「CAPTCHAの安全対策の多くはパズルに正解できるかどうかではなく、どのような接続元や操作で解いているかを見ていました」と説明しています。


近年のCAPTCHAはパズルそのものよりもパズル以外の情報を重視する方向へ移っています。Googleの「reCAPTCHA v3」「Friendly CAPTCHA」「hCAPTCHA」、Cloudflareの「Turnstile」などはそもそもユーザーにパズルを表示しません。こうした仕組みは「操作が自動化されたコードによるものではなく正当性を確認できる端末からの操作か」「そのIPアドレスが過去に大量の自動リクエストを行っていないか」「ユーザーがウェブページ上をどう移動しているか」「Cookieの履歴がどうなっているか」といった要素から不正な操作の可能性を判断しているとのことです。

それでも従来型のCAPTCHAパズルも数十年にわたって広く使われてきた上、導入しやすく比較的低コストであるため、2026年7月時点でも多くのウェブサイトで使われ続けているとChong氏は説明しています。

ボットがパズルを解けるようになっているにもかかわらず、人間にはCAPTCHAが手間のかかる作業になりがちです。また、特に視覚障害のあるユーザーにとって不利になる場合があるという指摘もあります。プレスナー氏は「数学の博士号を持つ人しか解けないCAPTCHAならあまり役に立ちません。インターネットは誰もが使える必要があります」と述べています。

・関連記事
CAPTCHAだらけのウェブを変える人間証明システム「PACT」とは? - GIGAZINE

「CAPTCHAを突破してしまうAI」を正確に検出するために必要なアプローチとは? - GIGAZINE

AIの進化でボットの方が人間よりも高速かつ高精度でCAPTCHA認証を突破することが可能に - GIGAZINE

なぜ自分がロボットでないことを示す「CAPTCHA」はどんどん難しくなっているのか? - GIGAZINE

in AI,   サイエンス,   セキュリティ, Posted by log1b_ok

You can read the machine translated English article Does 'CAPTCHA' still have meaning in the….