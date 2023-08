2023年08月16日 19時00分 ソフトウェア

AIの進化でボットの方が人間よりも高速かつ高精度でCAPTCHA認証を突破することが可能に



インターネットでサービスを利用を行う際、自身がロボットでないことを証明するために「CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart)」というテストを要求されることがあります。CAPTCHAについて調査を行ったカリフォルニア大学の研究チームによる実験で、CAPTCHAテストの解読速度や正答率は人間よりもボットの方が優れていることが判明しました。



[2307.12108] An Empirical Study & Evaluation of Modern CAPTCHAs

https://doi.org/10.48550/arXiv.2307.12108





So much for CAPTCHA – bots can do them quicker than humans • The Register

https://www.theregister.com/2023/08/15/so_much_for_captcha_then/



CAPTCHA: Bots are better at beating 'are you a robot?' tests than humans are | New Scientist

https://www.newscientist.com/article/2384228-bots-are-better-at-beating-are-you-a-robot-tests-than-humans-are/



CAPTCHAとは、ゆがんだ文字を読み取って入力したり、提示されたテーマに沿った画像を複数選択させたりすることで、ユーザーが人間かボットかを識別するシステムです。ウェブサイトの管理者はCAPTCHAを導入することで、サイトをクロールするボットや、検索エンジンにスパムURLを追加しようとするボットからオンラインシステムやフォームを保護することが可能です。一方で、ウェブサイトの訪問者にとってCAPTCHAは面倒な存在でもあります。そこで、カリフォルニア大学アーバイン校の研究チームは人間の被検者とボットにCAPTCHAを突破させ、突破にかかる時間や成功率を比較する実験を実施しました。



研究チームはCAPTCHAを導入している120個のウェブサイトを抽出し、1000人の被検者に対して120個のウェブサイトの中からランダムに抽出した10個のサイトでCAPTCHAに挑むように求めました。





同時に研究チームは、CAPTCHAテストを突破することを目的としてこれまでに作成されたさまざまなボットと人間との比較を行いました。



調査の結果、ゆがんだテキストを読み解くタイプのCAPTCHAは、ボットが99.8%という高精度かつ1秒未満というすさまじい速度で解いたのに対し、人間は50~84%の精度で約9~15秒もかかったことが報告されました。また、画像を選択するタイプのCAPTCHAでは、ボットの正答率が85%まで落ち込んだものの、人間の正答率である81%をわずかに上回ったことが報告されています。



CAPTCHA認証の種類ごとに人間の突破時間をまとめた表が以下。Googleが開発したreCAPTCHAが10秒を下回る短さで突破されているのに対して、Arkose MatchKeyやhCaptchaは突破に数十秒を要していることが分かります。





以下は人間とボットの回答速度と正答率を比較した表です。reCAPTCHAやGeetestなど、ほとんどのテストでボットの方が正確かつ素早く正答できています。





また、研究チームはユーザーの種類や環境別でのCAPTCHA回答速度を調査しました。その結果、ユーザーの年齢やインターネットを利用するデバイス、利用する目的、学歴などの要因でCAPTCHAの解答速度が異なることも判明しました。以下はインターネットを利用する目的別でのCAPTCHA回答時間を示したグラフです。オンラインゲームをプレイするユーザーが、仕事やネットサーフィン、教育にインターネットを使用するユーザーよりも多くの場合、CAPTCHAの回答時間が短いことが示されています。





学歴別でのCAPTCHA回答時間を示したグラフが以下。「PhD(博士号)」を持ったユーザーは回答時間が多くのケースで短いことが報告されています。





研究チームのアンドリュー・サールズ氏は「ゆがんだテキストや画像選択などのチャレンジを使用して、人間とボットを区別する簡単な方法はもはやありません」と述べ、「CAPTCHAではなく、インテリジェントなアルゴリズムを導入してボットによるアクセスを人間と区別する必要があります」と指摘しています。



ケント大学でサイバーセキュリティの教授を務めるシュジュン・リー氏は、高度なAIが爆発的に増加したことで、CAPTCHAは時代遅れになっていることを指摘。また「CAPTCHAはもはやセキュリティ目標を達成することは困難です」と述べています。さらに「行動分析を用いたよりダイナミックなアプローチなど、新しいアプローチが求められています」と語っています。



Google Cloudでプロダクトマネジメント担当シニアディレクターを務めるジェス・リロイ氏は「我々はボットや人間を問わず、悪意のあるアクティビティの認識とそのブロックにこれまで以上に重点を置いています。そのため、AIの進歩によって成長したボットがアクセスしても、ユーザーのコンテンツを保護することが可能です。さらに、我々は『reCAPTCHA v3』を2018年から導入しており、ユーザーは『私はロボットではありません』というチェックをつける必要さえなくなっています」と報告しています。