詳細を読む
ウェブサイトで歪んだ文字や信号機の画像を選ぶ「CAPTCHA」を見かける機会が激減しています。これは、AI技術の進化でボットが容易に突破できるようになったためです。現在、GoogleやCloudflareなどが主導し、ユーザーの行動パターンを裏側で分析する「見えない認証」が主流となりつつあります。ウェブセキュリティの常識が、AIによって大きく塗り替えられようとしているのです。
CAPTCHAは2003年、「コンピュータには解けないが人間には解けるタスク」として登場しました。当初は有効でしたが、AIの画像・文字認識能力が向上するにつれて、その役割を終えつつあります。ユーザーにとっても、複雑化する認証は多大なストレスとなっており、ウェブサイト側も新たな対策を模索する必要に迫られていました。
そこで登場したのが、Googleの「reCaptcha v3」やCloudflareの「Turnstile」といった新しい認証方式です。これらの技術は、ユーザーにタスクを課す代わりに、マウスの動きや入力速度といった行動データを分析します。そして、人間らしさをスコア化し、ボットの疑いがある場合にのみ追加の認証を求める仕組みで、ほとんどのユーザーは認証を意識することさえありません。
なぜこれらの高度な認証サービスは無料で提供されるのでしょうか。それは、膨大なトラフィックデータを収集することが目的だからです。Cloudflareは「インターネット上の全HTTPリクエストの20%を観測している」と公言しています。この巨大な学習データが、人間とボットを見分けるAIモデルの精度をさらに高め、サービスの競争力を支えているのです。
一方で、今もまれに奇妙なCAPTCHAに遭遇することがあります。セキュリティ企業Arkose Labsなどが提供するこれらの認証は、ボット撃退が主目的ではありません。攻撃にかかる時間的・金銭的コストを意図的に引き上げ、攻撃者の採算を悪化させる「コストプルーフ」という考え方に基づいています。
特に生成AIによる攻撃への対策として、AIの学習データに存在しないような奇抜な画像が使われます。例えば「鳥の頭と馬の影を持つカエルの絵」について質問するなど、AIの『知らない』領域を突くことで、人間とAIを区別します。これは、AI時代の新たなセキュリティ攻防の一端と言えるでしょう。
今後、ウェブ認証はさらに多様化していく見込みです。GoogleはQRコードのスキャンや特定のハンドジェスチャーといった新しい認証方法を導入しています。攻撃手法が日々進化するのに伴い、防御側も常に新しい技術を開発し続けなければなりません。AI時代のセキュリティは、終わりなき適応の競争なのです。