本記事は元々 blog.logto.io に掲載されたものです。
CAPTCHA とは?
CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart、コンピューターと人間を見分ける完全自動パブリックチューリングテスト)は、人間のユーザーと自動プログラムやボットを区別するために使われるチャレンジ・レスポンス方式のシステムです。 これは、人間にとっては簡単だけれど、機械には難しい課題を提示します。
例えば、従来の CAPTCHA では、ゆがんだ文字や数字を表示し、それを入力するよう求めます。人間のパターン認識能力を利用することで、CAPTCHA は多くのスクリプトやスパムボットがオンラインフォームやサービスを悪用するのを防ぎます。
CAPTCHA の仕組み
従来の CAPTCHA は、歪んだテキストの解読や特定の画像の選択といったタスクに依存していました。歪み(例:ノイズが重ねられゆがんだ文字)は、シンプルな OCR(光学式文字認識)アルゴリズムを妨害します。
現代の CAPTCHA ソリューションは、いくつかのカテゴリに進化しています:
- インタラクティブ CAPTCHA: ユーザーがパズルを解いたり、特定の操作をする必要があります。「私はロボットではありません」チェックボックス課題が例です。チェックをクリックした後、信号機や店舗が写ったすべての画像を選ぶ、表示された文字を入力する、音声テストを行うなど、さらに課題が表示される場合もあります。特に Cloudflare Turnstile では、シンプルなチェックボックスをクリックするだけで人間かどうかを判定でき、複雑な課題は不要です。
- 非インタラクティブ CAPTCHA: ユーザーにパズルや操作を求めず、画面の邪魔をしません。例えば Cloudflare Turnstile の非インタラクティブ モード では、訪問者は自動読み込みバー付きの小さなウィジェットを見るだけです。バックグラウンドでチェックが実行され、静かに成否結果が返されます。この方式は使いやすさを重視しています。
- インビジブル(不可視)もしくはパッシブ CAPTCHA: まったく画面上でテストを表示せず、完全にバックグラウンドで機能します。例えば、Google reCAPTCHA v3 はユーザー行動(マウス動作、時間、Cookie など)を不可視に分析してリスクスコア(0–1)を付与し、直接課題を出しません。スコアが低すぎない限り、ほとんど何も表示されません。
製品に CAPTCHA を導入すべき?
CAPTCHA の導入はセキュリティとユーザー体験のトレードオフです。CAPTCHA サービス選択時、重要な検討ポイントは:
AI は CAPTCHA を突破可能?
CAPTCHA は基本的なボットには有効ですが、巧妙な攻撃者は対策を取っています。高度なスクリプトや AI 駆動のボットは、OCR/画像認識や機械学習を用いて CAPTCHA を突破することがあります。「バイパス・アズ・ア・サービス(bypass-as-a-service)」と呼ばれる、攻撃者が人間や専用の AI に CAPTCHA を大量に突破させるサービスも存在します。例えば、Google はかつて「古いテキスト CAPTCHA がボットによって 99%以上突破される」と報告しました。
しかし、現代の非インタラクティブ型やインビジブル型、つまり行動ベースや暗号学的バックグラウンドチェックの CAPTCHA は、AI 攻撃への防御力がより高いです。現在、ボットトラフィックは全インターネットの約 51%、うち 37%が悪意あるものと非常に多くなっています。完全ではなくても、何らかの CAPTCHA やボット検出を導入する価値は大きいです。
さらに、デバイスフィンガープリント(例:パスキー)、レート制限、多要素認証(MFA)など、多層的なボット対策が必要です。
CAPTCHA 導入でユーザー体験が損なわれる?
どの CAPTCHA も、ユーザーに多少の負担をかけます。調査によると、人間が最初の試行で CAPTCHA を正しく入力できる率は約 66%のみで、多くの人がいらだちフォームから離脱してしまうかもしれません。例えば、長い画像パズルや再挑戦の多発はコンバージョン率の低下につながります。
これを緩和するため、現代の CAPTCHA プロバイダーは「人間の負担を最小化すること」に注力しています。具体的な戦略例:
- 高リスクと判定されたユーザーのみ課題を発生させるアダプティブ方式
- パズルの代わりに、マウス動作・時間など目立たない行動シグナルを利用
- 静かに動作するインビジブル CAPTCHA の提供
Cloudflare は Turnstile について「CAPTCHA のいらだち体験を排除し、実在のユーザーは視覚的パズルを解く労力から解放される」と報告しています。多くのサイトでは、ユーザー行動が怪しい時だけチェックボックスや画像課題を表示し、普通のユーザーにはほぼ何も見せない運用がされています。
CAPTCHA は AI エージェントのサードパーティサービスアクセスを阻害?
現在、自動化タスクやサードパーティサービス連携のための AI エージェントが増えています。
多くのドメイン固有 AI エージェントは、OAuth や MCP(モデルコンテキストプロトコル)のような標準プロトコルによってサードパーティアプリに安全かつ正規に接続します。これによりユーザーはスムーズに権限を与えられます。
一方、もっと野心的な「汎用」AI エージェントは、人間のウェブ操作を完全に再現しようとします。例えば、Manus はフォーム入力やユーザー名・パスワードでのログインなど、あらゆる操作を自動化します。しかし実際には、Manus でさえ現代の高セキュリティ CAPTCHA(Cloudflare Turnstile や Google reCAPTCHA Enterprise など)は突破できず、ユーザーが手動で課題を解いても「セッションの引き継ぎ」で失敗する場合が多いです。AI エージェントを設計するなら、認証フローにも工夫が必要です。人間のふりをしてブラウザ自動化に依存するのは現実的でなく、強力な CAPTCHA はボット的な操作を的確に阻止できるからです。
CAPTCHA 導入コストは?
CAPTCHA サービスには無料から有料まで様々なプランがあります。無料プランは利用量や機能が限定されていることが多いです。例えば:
- Cloudflare Turnstile は無制限で無料
- Google の reCAPTCHA Essentials は月 10,000 回まで無料、それ以上や高度な機能は有料(Standard/Enterprise)
- hCaptcha は無料の「Basic」プランと、Pro/Enterprise 有料プラン(例:Pro は月約 $99~$139/10 万リクエスト)
見込みトラフィックやコンバージョン目標に応じて各社のプラン上限と価格を必ず確認しましょう。
CAPTCHA の利用シナリオ
CAPTCHA は、ボットによる被害が予想される場面で設置されます。代表的なシナリオ:
- 認証フロー: 新規登録・サインイン・パスワードリカバリーなどへのボット攻撃対策。CAPTCHA はスクリプトによるアカウント攻撃の一次防御になります。加えて、サインインロックアウト(総当たり回避)や、リスク時のみ追加検証を行うアダプティブ MFA などで、セキュリティを高めつつ操作性も維持できます。
- フォーム送信: お問い合わせ・フィードバック・コメント・レビューなどのパブリックフォーム保護。CAPTCHA 無しではスパマーがコメント欄や掲示板を氾濫させます。
- 高価値アクション: オンライン投票・チケット販売・プロモーション・EC のチェックアウトなどの不正対策。自動投票や転売防止(例:一人一票、一人一枚制限)としても活用されます。
これらのタッチポイントで CAPTCHA を挿入すれば、自動化による悪用を大幅に減らしつつ、正規ユーザーには開かれたシステムを維持できます。
CAPTCHA プロバイダー比較
| CAPTCHA プロバイダー | ユーザー体験 | プラン・料金 |
|---|---|---|
| reCAPTCHA v2(Google) | ユーザーは「私はロボットではありません」チェックボックスをクリック。クリックで画像課題が出る場合と出ない場合あり。 | 最大 10,000 回/月まで無料(Essentials)、以降は有料(Standard/Enterprise)。Enterprise は 100,000 回まで $8、その後 1,000 回ごとに $1。 |
| reCAPTCHA v3(Google) | 不可視、バックグラウンドでリスクスコア付与(課題なし)。 | reCAPTCHA v2 と同じ価格体系 |
| reCAPTCHA Enterprise(Google) | 2 種のインタラクティブモード:1. スコア型(課題なし) 2. チェックボックスおよび自動画像課題 | 利用量ベース:10,000 回まで無料、100,000 回まで $8、それ以降 1,000 回ごとに $1。アカウント防御や SMS 不正対策など追加機能あり。 |
| Cloudflare Turnstile | 3 種のインタラクティブモード:1. マネージド:Cloudflare ロジックがチェックボックス表示ユーザーを決定。 2. 非インタラクティブ:全員が自動読み込みウィジェットを見るが操作はなし。 3. インビジブル:来訪者はウィジェットを見たり操作したりしない。インビジブル課題は数秒で完了。 | 実質無料。無料プランは最大 20 CAPTCHA ウィジェット、各ウィジェットに最大 15 ホスト名、リクエスト数無制限。Enterprise でウィジェット無制限。 |
| hCaptcha | 画像分類型の課題(reCAPTCHA v2 と類似)。プライバシー重視だが課題が複雑な場合も。 | 月 100,000 回まで無料。Pro は約 $99~/月。Enterprise はカスタムプラン。 |
| FunCaptcha(Arkose Labs) | ゲーミフィケーションミニゲーム(回転・スライドパズル、クイズなど)。より魅力的な課題でボット撃退目的。 | 無料プランなし。Arkose Bot Management の一部としてエンタープライズ専用、価格は要問い合わせ。 |
| Friendly Captcha | 完全インビジブルな PoW(プルーフ・オブ・ワーク)パズル。ユーザー操作不要、バックグラウンドですべて解決。 | 非商用無料(1 ドメイン、月 1,000 回)。有料プラン:Starter €9/月(1K 回)、Growth €39/月(5K 回)、Advanced €200/月(50K 回)、Enterprise カスタム。 |
| BotDetect(Captcha.com) | 伝統的な画像・音声 CAPTCHA(文字・数字)。 | オンプレミス・ライセンス型。無料なし。年間約 $99 の APT ライセンス。 |
これらの中で、Cloudflare Turnstile は際立っています。無料・シンプル実装・目立たず、正規ユーザーにパズルを強制することなく堅牢なボットブロックを実現、かつ「広告リターゲティング目的でデータを収集しない」としてプライバシーも完全に尊重します。ほとんどのサイトにとって、Turnstile はセキュリティ・UX・コストのバランスが最良の選択肢です。
サインインフローへの CAPTCHA 統合を簡単にするには
CAPTCHA を最も簡単に追加するなら、統合型 ID プラットフォームの利用がおすすめです。
Logto は開発者向けの IAM ソリューションです。Google reCAPTCHA Enterprise や Cloudflare Turnstile など主要プロバイダーに対応し、数クリックで CAPTCHA を有効化できます。
Logto なら、複雑な実装不要で 認証フロー全体(サインアップ、サインイン、アカウント復旧、SSO、MFA、マルチテナント管理 等)を守れます。Logto の CAPTCHA を詳しく知る、またはチームへのお問い合わせから他の CAPTCHA プロバイダーもぜひご検討ください。