今回は少しかわった認証の仕組み「キャプチャ認証」をご紹介します。

■キャプチャ認証って?

キャプチャ認証は英語表記だと「CAPTCHA」=「Completely Automated Public Turing test to tell Computers and Humans Apart」の頭文字をつなげたもので、直訳すると「コンピューターと人間とをはっきりと自動識別するテスト」のことを指します。
キャプチャ認証という言葉を知っている人はすごく少ないと思いますが、実はかなり多くの方が、キャプチャ認証を経験しているはずです。

キャプチャ認証は、画像認証とも言われ、画像でかなり判読しずらい数字やアルファベットなどが何文字か表示されていて、それを読み取って、フォームに入力して送信する仕組みがキャプチャ認証で、送信しているのが機械やプログラムではなく、識別&判断能力のある人間であるかどうか、を判断する認証方式です。

さらに画像の文字列を読ませる文字列型以外にも、計算式が表示され、その答えを入力させる計算型や、表示されたパズルのピースを正しいところに移動させるようなパズル型など、キャプチャ認証と一言で言っても実はかなり色々なタイプがあります。いくつか例をあげてみましょう。(画像をクリックすると回答入り画像が拡大画面で見れます。)

いかがですか?
画像の文字を読んで入力するもの、指定された絵をドラッグするもの、計算結果を入力するもの、画面通りに線を引くもの、文字で表現された数字を入力するもの、ひとつだけ違うアイコンを選ぶもの、etc.  と実に千差万別。

キャプチャ認証自体は、個人の認証とは違いますが、キャプチャ認証を組み合わせたパスワード認証フォームをセットすることで、個人認証+人間識別のセットでの運用も可能です。

キャプチャ認証は、人間が手動で対応しないといけない状況を作ることで、自動プログラムによる標準型攻撃での不正アクセスを防止するための認証システムとしては非常に有効です。
ただし阻止すべき認知ソフトウェアの知能化が進んでいく状況で、これに対抗して設計されてきた新世代のキャプチャ認証は、結果として人間が判断するのも困難なほどに過剰に難化してしまい、ユーザーにストレスを与える障害にしかならなくなってきているケースも。にもかかわらず技術の進歩でプログラムによる認知がかなりの確率でできてしまうようになってしまうなど、なかなかすっきりしない状況が生まれてきています。

■Google「NO CAPTCHA reCAPTURE」の登場で新時代に?

その状況に対してGoogleが「NO CAPTCHA reCAPTURE」という複雑で解読しずらい文字列を使わないキャプチャ認証システムのAPI提供を開始しました。

このように「私はロボットではありません」という設問にチェックすれば、フォームに文字を入力できるような仕組みで、今までのキャプチャ認証のストレスを解放してくれるシステムです。

Googleはこの人間判定のアルゴリズムについては詳しい情報を公開していませんが、ユーザーとCAPTCHAの関わりの一部始終を積極的に検討して、ユーザーが人間かどうかを判断しているとのことです。(例えば表示されてからチェックを入れ、送信するまでの時間的なタイミングとか、その前後のアクセス行動における反応とか・・)

現在ではこれがかなり広まってきており、ユーザーストレスを解消してきてくれているようです。
キャプチャ認証の今後の動向に注目しましょう。

P.S.
一般的なキャプチャ認証のように単に人間によるアクセスかどうか、を判断するだけではなく、画像認証の中には文字列の代わりに本人が用意したいくつかの画像などを使ったりして、画像認証単体で「個人を特定する認証」として使えるタイプのものも一部には存在していますが、通常のパスワード認証と組み合わせて使うほうが一般的で、単体で個人認証できるタイプはあまり一般的に使用されるレベルにはいたってないようです。