「パズルCAPTCHA」取り扱い開始/ヤマダ電機「ボット」か「ヒト」かをパズルで判別
不正なログインから“サイトを守る!!”

 「パズルCAPTCHA(キャプチャ)」と聞いてピンとこなくても、パソコンやスマホでこのログイン画面を体験したことのある方は、非常に多いのではないでしょうか? 

 キャプチャとは、ボット(自動化されたプログラム)によるアクセスを防ぐためのシステムのこと。 そのサイトへのログインユーザーがボットではなく、ヒトであることを判別するためのツールです。

パズルCAPTCHAの優位性

 Capyが開発したパズルCAPTCHAはこの判別を、パズルのピースをタッチやマウスで指定の場所に移動させ、パズルを完成させることで実現しています。これまで主流だった文字キャプチャ(画面に表示された文字や数字を入力)やリキャプチャ(「私はロボットではありません」と書かれたチェックボックスをクリック)に代わって今、採用企業が急速に増えつつあります。

 採用企業のリストをみると、金融業や小売業、運輸業、サービス業などと非常に幅広く、しかも業界を代表するメジャーな企業名やブランド名がズラリと並んでいます。

 なぜ今、従来型の文字キャプチャに代わって、パズルCAPTCHAを採用する企業・ユーザーが増えているのでしょうか?

 それは、パズルCAPTCHAは基本コンセプトを「不正アクセス対策を“ボット(攻撃者)に厳しく、ヒトに優しく”」としており、「①優れたユーザビリティ」と「②高いセキュリティレベル」というトレードオフにある2つの問題をクリアしているからです。

 例えば文字キャプチャでは、表示された文字が判読しにくく、なかなかログインできなかったという経験をお持ちの方も少なくないでしょう。これは攻撃者であるボットが高度化し、シンプルな文字列なら判読・入力可能となってきているからです。表示する文字の形を歪めたり、ノイズをかけたりするなどしてセキュリティを高めているのですが、その結果として、ヒトにも判読が簡単にはできない状況になってきているわけです。

 リキャプチャも同様で、セキュリティを高めるため、クリック後の確認要求で表示する画像の抽象化が進んでおり、ヒトにも判断が難しい状況になってきています。過去にこれらを使っていたあるWebサービス事業者のサポートセンターでは、「ログインできない」という問い合わせだけで、月間100~200件程度が当たり前だったといいます。

 この状況を解決したのが、「①優れたユーザビリティ」を実現したパズルCAPTCHAというわけです。何しろログインのための操作は、パズルのピースを指定場所に移動するだけ。老若男女問わず、誰にでも簡単に操作できる優れたユーザビリティが特徴です。

 Capyの発表によれば、文字キャプチャからパズルCAPTCHAに変更したある企業の会員サイトでは、それまで13%もあった離脱率が、2%にまで激減したとのこと。ユーザビリティの違いが、ログイン率に大きく影響することはいうまでもありません。

「攻撃者IPアドレス」をリスト化し共有

 しかし、最近ではボットも高度化してきており、ピースの移動を自動で行えるタイプも登場してきています。パズルCAPTCHAはその対応にも万全で、「②高いセキュリティレベル」を実現するため、動かされたピースの軌跡を分析し、その動き方や速度などからヒトかボットかの判別を行っています。

 さらにCapyではパズルCAPTCHAに止まらず、セキュリティ面で特筆すべきサービスを開発しています。それは「リアルタイムブラックリスト」です。Capyの認証サービスを利用しているすべてのユーザーサイトにおいて、攻撃者IPアドレス(ブラックIPアドレス)をリアルタイムでリスト化し、他社や業界内で共有しながらセキュリティを高める仕組みです。さらに攻撃に利用されたIPアドレスだけでなく、プロキシ・クラウドサーバー経由のIPも検知可能となっています。

 これなどは、まさに“有りそうでなかった”サービスではないでしょうか。すべての攻撃者IPアドレスを共有することができれば、セキュリティのレベルを全体としてさらに高めることができます。しかも、ボットがデータベース化しているIPの、弱体化も可能だといいます。ボットは侵入に成功したIPをデータベース化する一方で、侵入に失敗したIPはリストから削除しているため、データ件数の削減につながるからです。

 不正アクセスによる情報漏えい事故のニュースは後を絶ちません。それは、他社で得られた個人情報が、ボットによる不正ログインの活動原資となるからです。ボットはその個人情報を用いて無差別に不正ログインを行い、不正ログインに成功したデータのみをリスト化。このリストを入手した者が“なりすまし”ログインを行い、「不正送金」や「ポイント搾取」「データ改ざん」などの重大犯罪を実行する、というのが基本的な攻撃ステップといわれています。

 それだけに「ボットによる不正ログインをいかに防ぐか」が、その後の重大な事故を未然に防ぐための重要ポイントとなります。ここを重視したCapyのパズルCAPTCHAは、「ボットの攻撃を防ぐ」ことを最大の目的とし、そのための技術やノウハウを注ぎ込んで開発されたセキュリティサービスです。サイトやネットワークの管理者はもちろんのこと、経営者にとっても注目すべきセキュリティサービスといえるでしょう。

 ヤマダ電機法人事業部では、この春からパズルCAPTCHAの取り扱いをスタート。気になった方はぜひとも、全国のヤマダ電機法人カウンターで、問い合わせてみてはいかがでしょうか?(征矢野毅彦)

※「Capy」及び「パズルCAPTCHA」の詳細は、こちらまで!