セキュリティ

CloudflareがCAPTCHAの代わりとして「Turnstile」をリリース、ユーザーではなくブラウザをテストしてボットかどうかを見極める仕組みとは?


わざと歪ませた文字列を入力させたり指定した写真を選ばせたりすることで、人間とボットの区別を付けるシステムが「CAPTCHA」です。コンテンツデリバリーネットワークプロバイダのCloudflareが、このCAPTCHAに置き換わる代替手段となる「Turnstile」のオープンベータ版をリリースしました。

Announcing Turnstile, a user-friendly, privacy-preserving alternative to CAPTCHA
https://blog.cloudflare.com/turnstile-private-captcha-alternative/

Cloudflare’s Turnstile is its next CAPTCHA replacement to determine you’re human - The Verge
https://www.theverge.com/2022/9/28/23367035/cloudflare-turnstile-captcha-bot-blocker-beta

CAPTCHAはサービスにアクセスする直前に置かれることが多く、いちいち写真を選んだり文字列を入力したりしなければならず、そのわずらわしさによってユーザーエクスペリエンスが大きく損なわれているとCloudflareは述べています。また、CAPTCHAの制作者自身も「知らず知らずのうちに何百万時間という最も貴重な資源である人間の脳サイクルを浪費するシステムを作ってしまった」と嘆いているほどで、CAPTCHAを嫌がる人は多数存在します。


そこで、Cloudflareが発表したのがTurnstileです。Turnstileはユーザーに視覚的なパズルを提示するのではなく、多くのウェブブラウザに課題を適用して「人間らしい行動」を探し、ユーザーが「非人間的な行動」を示した場合はクリア難度を上げるというもの。avaScriptベースの課題を使用してウェブブラウザ環境を読み取り、ブラウザ上の行動のクセを探し、作業証明・空間証明・ウェブAPIのプローブなどのテストを循環させます。


また、機械学習モデルを利用して、過去に成功した課題と新しい課題を比較し、合格までのプロセスをスピードアップします。Cloudflareによると、CAPTCHAでは課題をクリアして認証を終えるまで平均で32秒かかっていたのが、Turnstileを使うことでわずか1秒に短縮されるとのこと。


さらに、CloudflareはTurnstileがCAPTCHAよりもプライバシーに優れていると主張しています。通常、CAPTCHAはユーザーのブラウザがGoogleの発行するCookieを持っているかどうかを判断します。GoogleはこのCookieに関する情報を広告のターゲティングに使わないと述べていますが、Cloudflareは「結局のところ、Googleは広告販売会社です」と述べ、信頼性が低いとみなしています。

Appleが2022年6月に発表した「プライベートアクセストークン」はiOS 16などでCAPTCHAをバイパスするための機能で、大本の技術はCloudflareやGoogleと協力して開発されました。Turnstileにはこのプライベートアクセストークンが組み込まれており、デバイスの検証をAppleに依頼することでデータ収集を最小限に抑えるとのこと。加えて、Cloudflareは「Cookieを使ってあらゆる種類の情報を収集したり保存したりすることはありません」と宣言しています。

CloudflareがCAPTCHAをなくそうとするのは、今回が初めてではありません。2021年にCloudflareは「CAPTCHAを完全に排除する」と宣言し、YubiKeyFIDO keyのようなUSBベースの物理キーを使用するハードウェア対応の認証機能を作成しています。

Cloudflareが「CAPTCHAの狂気」からの完全脱却を表明、物理セキュリティキーを使うシステムを提案 - GIGAZINE


Turnstileは記事作成時点ではベータ版として提供されており、Cloudflareが提供する他のサービスを利用したり、トラフィックをCloudflareのネットワークに送信する必要はなく、誰でも無料で利用できるとのこと。Cloudflareは「他の人にとっては信じがたいこともありますが、よりよいインターネットの構築を支援することが私たちの真の使命です。インターネットをより良くする無料ツールを開発したのはTurnstileが初めてではなく、今回が最後でもありません」と述べています。

この記事のタイトルとURLをコピーする

・関連記事
CloudflareがゼロトラストのeSIM「Zero Trust SIM」を発表 - GIGAZINE

Cloudflareのブロック対象になると大変なことになるという体験談 - GIGAZINE

Cloudflareが嫌がらせ特化型掲示板「Kiwi Farms」をブロック、LGBT差別が人命の危機に発展することを考慮 - GIGAZINE

Google Cloudが史上最大となる1秒あたり4600万リクエストのDDoS攻撃をブロック、Cloudflareが以前に阻止した攻撃よりも76%以上強大 - GIGAZINE

Cloudflareが2022年6月21日に発生した大規模ネットワーク障害について説明 - GIGAZINE

他社のクラウドサービスからシェアを奪うためのCloudflareの戦略は囲碁に似ているという分析 - GIGAZINE

Cloudflareから簡単に「メールアドレス使い分け」ができる新サービスが登場、ワンクリックで可能なフィッシング対策も - GIGAZINE

・関連コンテンツ

in ソフトウェア,   ネットサービス,   セキュリティ, Posted by log1i_yk

You can read the machine translated English article here.