フォームの送信前に「信号機をすべて選んでください」と求められる。あの仕組みがreCAPTCHA(リキャプチャ)だ。
長年、Webサービスのbot protection(ボット防御)の定番として使われてきた。ところが現在、reCAPTCHAはボットを確実に止める手段として機能しなくなっている。なぜそうなったのか、技術的な背景を整理する。
reCAPTCHA(リキャプチャ)が判定しているのは何か
まず仕組みの確認から始める。
reCAPTCHA v2は「人間らしい行動パターンかどうか」をスコアリングする。マウスの動き、クリックのタイミング、IPアドレス、Cookieの状態などを組み合わせてリスクスコアを算出し、疑わしい場合に画像選択チャレンジを出す。
reCAPTCHA v3はUIチャレンジをなくし、サイト全体の行動を常時監視して0.0〜1.0のスコアを返す設計だ。スコアが低ければ追加の確認を求める。
どちらも共通しているのは、「人間らしい行動をしているか」を確率的に判定するという設計だ。「この主体が生物学的な人間かどうか」を確認しているわけではない。
この区別が、AI時代に致命的な問題になっている。
なぜAIはreCAPTCHAを突破できるのか
bot protectionとしてのreCAPTCHAが機能しなくなった理由は大きく3つある。
① 画像認識の精度が人間を超えた
「バスが含まれる画像を選べ」「信号機をクリックしろ」というチャレンジは、人間には直感的で機械には難しいタスクとして設計されていた。ただ、現在の画像認識AIはこの種のタスクで人間と同等かそれ以上の精度を持つ。
Impervaの調査によれば、高度なボットのreCAPTCHA突破率は83%に達している。画像チャレンジはbot protectionの手段としてほぼ機能しなくなっている。
② 行動シミュレーションの精緻化
reCAPTCHA v3が頼る「人間らしいマウスの動き」や「自然なクリックタイミング」は、現在のAIエージェントが高精度で模倣できる。ランダム性を意図的に加えたシミュレーターは、行動分析型のスコアリングを通過できる。
③ CAPTCHA解読サービスの流通
アルゴリズムによる突破だけでなく、人力でCAPTCHAを解くサービス(CAPTCHA Farm)や自動突破ツールが商業流通している。技術の問題というより、経済的なアービトラージとして機能している。
reCAPTCHA v3はv2より安全なのか
よく出る疑問なので整理しておく。
v3はUIチャレンジをなくしてユーザー体験を改善したが、行動分析という根本のアプローチはv2と同じだ。AIによるシミュレーションへの耐性という意味では、v2とv3の差は大きくない。
むしろv3の問題は、スコアの判定基準が不透明なため誤検知が起きやすい点にある。正規ユーザーがブロックされたり、逆に高精度のボットが通過したりするケースが報告されている。
有料化も進んでいる
bot protectionとしての限界とは別に、コストの問題もある。
Google Cloud公式の料金ページによれば、reCAPTCHA EnterpriseはAPI呼び出し数に応じた従量課金モデルに移行している。月間100万リクエストを超える規模になると、無視できないコストが発生する。
セキュリティ上の限界と経済的なコストが重なることで、代替手段を検討するエンジニアが増えている。代替手段の比較については、reCAPTCHAが有料化へ:日本の開発者が知っておくべき代替手段でまとめている。
根本的な問題:「行動」で「人間」を判定できない
ここに設計上の核心がある。
reCAPTCHAが確認しているのは「人間らしい行動パターン」であって「この主体が人間かどうか」ではない。AIが人間の行動を精密に模倣できる時代に、行動ベースの判定は「人間であることの証明」として機能しない。
この限界から、セキュリティ設計の領域では「proof of human(人間であることの証明)」という異なるアプローチが注目されるようになっている。行動を分析するのではなく、生体情報を起点にした暗号学的な証明で「この主体が実在する固有の人間か」を確認しようという設計だ。
World IDはそのアプローチを実用化した事例のひとつだ。専用デバイスOrbが顔と目の画像を取得し、虹彩パターンから生成したハッシュ値(IrisCode)とゼロ知識証明(ZKP)を組み合わせることで、個人情報を開示せずに「実在する固有の人間」であることを証明できる仕組みになっている。reCAPTCHAとの設計上の違いについては、reCAPTCHAはもう限界?AIがボット検証を突破する時代の新しい「人間証明」で詳しくまとめている。
開発者として今考えるべきこと
reCAPTCHAが「使えない」という話ではない。軽量なスパム対策として、一定の役割はまだある。
問題は「reCAPTCHAを置いておけばbot protectionができている」という前提で設計を進めることだ。
高い信頼性が必要な場面、たとえばイベント抽選・ポイントプログラム・AIエージェントが大量流入する可能性のあるAPIエンドポイントでは、確率的な行動判定では不十分になっている。用途を明確にした上で、reCAPTCHAを使う場面と別の手段を使う場面を区別するのが現実的な設計だ。
まとめ
- reCAPTCHA(リキャプチャ)は行動パターンの確率的判定によるbot protectionで、「人間かどうか」を直接確認する仕組みではない
- 画像認識AIの精度向上と行動シミュレーションの精緻化により、高度なボットの83%がreCAPTCHAを突破できる
- v3はUIをなくしたが、行動分析という根本のアプローチはv2と同じで耐性の差は小さい
- 2025年以降のEnterprise版有料化も、代替を検討する動きを加速させている
- 信頼性の高いbot protectionが必要な場面では、行動分析型ではなく証明ベースのアプローチを検討する価値がある
よくある質問
reCAPTCHA(リキャプチャ)はもう使わない方がいいのか
軽量なスパム対策としてはまだ有効な場面がある。ただし「reCAPTCHAを置けばbot protectionができている」という前提で高信頼性が必要な設計を進めるのは見直す必要がある。
reCAPTCHA v3はv2より安全か
行動分析という設計は同じで、AIシミュレーションへの耐性の差は大きくない。v3はUIを除去したことでユーザー体験は改善されているが、セキュリティの根本的な構造は変わっていない。
proof of humanはreCAPTCHAの直接の代替か
直接の代替ではなく用途が違う。reCAPTCHAはスパムフィルタリングに向いている。proof of humanは「1人の実在する人間が参加している」という保証が必要な場面向きで、設計の前提が異なる。
関連リンク