「CAPTCHAとWorld IDって、結局何が違うのか」という疑問は、reCAPTCHA(リキャプチャ)の限界に気づいた開発者がよく持つ問いだ。
どちらも「人間かどうかを確認する」という文脈で語られるが、設計の前提がまったく異なる。この違いを整理すると、どちらをどの場面で使うべきかの判断がしやすくなる。
CAPTCHAとは何か
CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart)は、コンピュータと人間を区別するための自動化されたテストだ。
Googleが提供するreCAPTCHA(リキャプチャ)はその代表的な実装で、現在主に2つのバージョンがある。
reCAPTCHA v2 は「私はロボットではありません」のチェックボックス型で、バックグラウンドでマウスの動き・クリックのタイミング・IPアドレスなどを分析してリスクスコアを算出する。リスクが高いと判定された場合に画像選択チャレンジを出す。
reCAPTCHA v3 はUIチャレンジをなくし、サイト全体の行動を常時監視して0.0〜1.0のスコアを返す。スコアが低ければ追加の確認を求める設計だ。公式ドキュメントに実装の詳細がある。
どちらも共通しているのは「人間らしい行動パターンかどうか」を確率的に判定するという点だ。
CAPTCHAの限界
reCAPTCHAがbot protectionとして機能しにくくなっている理由は、すでになぜreCAPTCHAはボットを止められなくなったのかで詳しくまとめている。ここでは要点だけ整理する。
Impervaの調査によれば、高度なボットの83%がreCAPTCHAを突破できる。理由は3つだ。
- 画像認識AIの精度が人間を超えた
- 行動シミュレーションが精緻化され、「人間らしい動き」を模倣できるようになった
- CAPTCHA解読サービス(CAPTCHA Farm)が商業流通している
根本的な問題は設計にある。reCAPTCHA(リキャプチャ)が確認しているのは「人間らしい行動をしているか」であって「この主体が生物学的な人間かどうか」ではない。
World IDとは何か
World IDは、人間証明(proof of human)のアプローチを実用化した仕組みだ。
専用デバイスOrbが顔と目の画像を取得し、虹彩パターンから生成したハッシュ値(IrisCode)を使って「この人間がシステムに登録されていない固有の人間であること」を確認する。認証後、画像は削除される。名前・住所・電話番号などの個人情報は収集しない。
ゼロ知識証明(ZKP)を使うことで、「このWorld IDが有効な実在人間のものである」という事実だけを証明し、「誰のWorld IDか」は開示されない。
CAPTCHAとWorld IDの違いを表で整理する
文章よりも並べた方がわかりやすいので、主要な観点で比較する。
判定の根拠
reCAPTCHA(リキャプチャ)は行動パターンの分析。World IDは生体情報を起点にした暗号学的証明。
判定の性質
reCAPTCHAは確率的(「おそらく人間だろう」)。World IDは確定的(「この人間は実在する固有の人間だ」)。
AIによる突破
reCAPTCHAは可能(高度なボットの83%が突破)。World IDは生体情報が起点のため原理的に突破が難しい。
個人情報
reCAPTCHAはGoogleへのトラッキングデータ送信を前提とする。World IDは個人情報を収集しない設計。
1人1アカウントの保証
reCAPTCHAはなし。World IDは1人につき1つのみ発行。
実装コスト
reCAPTCHAはJavaScriptスニペットで低コスト。World IDはSDK・API連携が必要で中程度のコスト。
用途
reCAPTCHAはスパムフィルタリングに向いている。World IDは「実在する固有の人間の参加」を保証する場面向き。
どちらをどの場面で使うべきか
この2つは直接の代替関係にない。用途が違う。
reCAPTCHA(リキャプチャ)が適している場面
- フォームのスパム送信を軽量に防ぎたい
- ボット的なアクセスを確率的に弾きたい
- 実装コストを最小化したい
World IDが適している場面
- イベント抽選・ポイントプログラムなど「1人1参加」の公平性が重要
- AIエージェントの大量流入が懸念されるAPIエンドポイント
- マッチングアプリや投票など、実在する人間であることの保証が必要
- 個人情報を収集せずにbot protectionを実装したい
reCAPTCHAの有料化移行や代替手段の比較については、reCAPTCHAが有料化へ:日本の開発者が知っておくべき代替手段でまとめている。
人間証明(proof of human)という概念
World IDが体現しているのは「proof of human(人間証明)」という設計思想だ。
行動の確率的分析から離れて、「この主体が生物学的な人間かどうか」を暗号学的に証明しようというアプローチで、CAPTCHAとは問いの立て方から異なる。
CAPTCHAが「このリクエストはボットらしくないか」を問うのに対して、proof of humanは「この主体は実在する固有の人間か」を問う。AIが人間の行動を精密に模倣できる時代には、この問いの違いが重要になる。
2026年4月時点で、World IDは160以上の国で1,800万人を超えるOrb認証済みユーザーを持つ(出典: World)。実用規模での展開が進んでいる。
開発者として整理しておくべきこと
reCAPTCHA(リキャプチャ)は「使えない」のではなく「用途が限定的になってきた」という理解が正確だ。
軽量なスパム対策としてはまだ有効な場面がある。問題は「reCAPTCHAを置いておけばbot protectionができている」という前提で、高い信頼性が必要な設計を進めることだ。
用途を明確にした上でCAPTCHAとWorld IDを使い分けるか、あるいは組み合わせるかを判断するのが現実的な設計アプローチだ。
まとめ
- reCAPTCHA(リキャプチャ)は行動パターンの確率的判定によるCAPTCHAで、「人間らしいか」を確認する
- World IDは生体情報を起点にした暗号学的証明で、「実在する固有の人間か」を確認する
- 高度なボットの83%がreCAPTCHAを突破できるが、World IDは生体情報が起点のため原理的に突破が難しい
- 2つは代替関係になく用途が異なる。スパムフィルタリングにはreCAPTCHA、1人1参加の保証が必要な場面にはWorld ID
- 人間証明(proof of human)という設計思想は、AIが人間の行動を模倣できる時代に重要性が増している
よくある質問
reCAPTCHA(リキャプチャ)をWorld IDで完全に置き換えられるか
直接の置き換えは難しい。reCAPTCHAはJavaScriptスニペットで実装できる軽量なスパム対策で、World IDはOrb認証を必要とする別種の仕組みだ。用途を明確にした上で使い分けるのが現実的だ。
World IDの実装にはどれくらいのコストがかかるか
World IDはAPIとSDKが公開されており、技術的な実装コストはreCAPTCHAより高いが、サービス利用自体は現時点でAPI利用可能だ。詳細はWorld ID開発者ドキュメントを参照してほしい。
CAPTCHAなしでbot protectionは実現できるか
完全にCAPTCHAなしでbot protectionを実現するには、World IDのような人間証明の仕組みか、Cloudflare TurnstileのようなCAPTCHAレス型の代替手段を検討することになる。どちらも用途と実装コストのトレードオフがある。
proof of humanとは何か
「proof of human(人間証明)」は「この主体が生物学的な人間かどうか」を暗号学的に証明しようという概念だ。CAPTCHAのような行動分析型ではなく、生体情報を起点にするアプローチで、AIによる模倣に対して構造的に有利な設計になっている。
関連リンク