2022年09月29日 11時05分 セキュリティ

CloudflareがCAPTCHAの代わりとして「Turnstile」をリリース、ユーザーではなくブラウザをテストしてボットかどうかを見極める仕組みとは?



わざと歪ませた文字列を入力させたり指定した写真を選ばせたりすることで、人間とボットの区別を付けるシステムが「CAPTCHA」です。コンテンツデリバリーネットワークプロバイダのCloudflareが、このCAPTCHAに置き換わる代替手段となる「Turnstile」のオープンベータ版をリリースしました。



Announcing Turnstile, a user-friendly, privacy-preserving alternative to CAPTCHA

https://blog.cloudflare.com/turnstile-private-captcha-alternative/



Cloudflare’s Turnstile is its next CAPTCHA replacement to determine you’re human - The Verge

https://www.theverge.com/2022/9/28/23367035/cloudflare-turnstile-captcha-bot-blocker-beta



CAPTCHAはサービスにアクセスする直前に置かれることが多く、いちいち写真を選んだり文字列を入力したりしなければならず、そのわずらわしさによってユーザーエクスペリエンスが大きく損なわれているとCloudflareは述べています。また、CAPTCHAの制作者自身も「知らず知らずのうちに何百万時間という最も貴重な資源である人間の脳サイクルを浪費するシステムを作ってしまった」と嘆いているほどで、CAPTCHAを嫌がる人は多数存在します。





そこで、Cloudflareが発表したのがTurnstileです。Turnstileはユーザーに視覚的なパズルを提示するのではなく、多くのウェブブラウザに課題を適用して「人間らしい行動」を探し、ユーザーが「非人間的な行動」を示した場合はクリア難度を上げるというもの。avaScriptベースの課題を使用してウェブブラウザ環境を読み取り、ブラウザ上の行動のクセを探し、作業証明・空間証明・ウェブAPIのプローブなどのテストを循環させます。





また、機械学習モデルを利用して、過去に成功した課題と新しい課題を比較し、合格までのプロセスをスピードアップします。Cloudflareによると、CAPTCHAでは課題をクリアして認証を終えるまで平均で32秒かかっていたのが、Turnstileを使うことでわずか1秒に短縮されるとのこと。





さらに、CloudflareはTurnstileがCAPTCHAよりもプライバシーに優れていると主張しています。通常、CAPTCHAはユーザーのブラウザがGoogleの発行するCookieを持っているかどうかを判断します。GoogleはこのCookieに関する情報を広告のターゲティングに使わないと述べていますが、Cloudflareは「結局のところ、Googleは広告販売会社です」と述べ、信頼性が低いとみなしています。



Appleが2022年6月に発表した「プライベートアクセストークン」はiOS 16などでCAPTCHAをバイパスするための機能で、大本の技術はCloudflareやGoogleと協力して開発されました。Turnstileにはこのプライベートアクセストークンが組み込まれており、デバイスの検証をAppleに依頼することでデータ収集を最小限に抑えるとのこと。加えて、Cloudflareは「Cookieを使ってあらゆる種類の情報を収集したり保存したりすることはありません」と宣言しています。



CloudflareがCAPTCHAをなくそうとするのは、今回が初めてではありません。2021年にCloudflareは「CAPTCHAを完全に排除する」と宣言し、YubiKeyやFIDO keyのようなUSBベースの物理キーを使用するハードウェア対応の認証機能を作成しています。



Cloudflareが「CAPTCHAの狂気」からの完全脱却を表明、物理セキュリティキーを使うシステムを提案 - GIGAZINE





Turnstileは記事作成時点ではベータ版として提供されており、Cloudflareが提供する他のサービスを利用したり、トラフィックをCloudflareのネットワークに送信する必要はなく、誰でも無料で利用できるとのこと。Cloudflareは「他の人にとっては信じがたいこともありますが、よりよいインターネットの構築を支援することが私たちの真の使命です。インターネットをより良くする無料ツールを開発したのはTurnstileが初めてではなく、今回が最後でもありません」と述べています。