コンピュータと人間を区別するための完全に自動化されたパブリック チューリング テスト (CAPTCHA) は、家庭用電化製品市場でパーソナル コンピュータが勢いを増して以来、インターネット ブラウジングに深く浸透しています。人々がオンラインになってからほぼずっと、Web 開発者はスパム ボットをブロックする方法を模索してきました。 CAPTCHA サービスは人間のアクティビティとボットのアクティビティを区別して、ボットの侵入を防ぎます。残念ながら、その方法は正確とは言えません。人間を保護しようとして、開発者は障害を持つ人々が Web の大部分にアクセスできないようにしてきました。
CAPTCHA などの認証方法では、通常、画像分類、パズル、音声サンプル、またはクリックベースのテストを使用して、ユーザーが人間であるかどうかを判断します。課題の種類については十分に文書化されていますが、そのロジックは公に知られていません。人々は、自分が人間であることを「証明」するために何が必要かを推測することしかできません。
キャプチャとは何ですか? CAPTCHA は、チャレンジ/レスポンス テストの形式をとる逆チューリング テストです。たとえば、「階段のある画像をすべて選択する」ようにユーザーに指示した場合、手すり、私道、横断歩道から階段を選択する必要があります。あるいは、表示されたテキストを入力したり、サイコロの面の合計を加算したり、スライディング パズルを完成させたりするように求められる場合もあります。 画像ベースの CAPTCHA は、インターネット ユーザーが経験する最もイライラする共有エクスペリエンス、つまり、問題のオブジェクトがほんの少ししか入っていないときに正方形を選択するかどうかを決定する原因となっています。
どのような方法であっても、最終的にはコンピュータまたはアルゴリズムが受験者が人間であるか機械であるかを決定します。この認証サービスは、reCAPTCHA や hCAPTCHA など、多くの派生サービスを生み出しました。これは、GeeTest や Arkose Labs などの会社全体の創設にもつながりました。 Google が所有する自動システム reCAPTCHA では、ユーザーは認証のために「私はロボットではありません」というチェックボックスをクリックする必要があります。バックグラウンドで適応分析を実行して、リスク スコアを割り当てます。 hCAPTCHA は、画像分類ベースの代替手段です。 他の認証方法には、多要素認証 (MFA)、QR コード、一時的な個人識別番号 (PIN)、生体認証などがあります。これらはチャレンジとレスポンスの公式には従いませんが、基本的に同様の目的を果たします。 これらの派生版は、オリジナルよりも優れたものになることを目的としていますが、多くの場合、最新のアクセシビリティ基準を満たしていません。たとえば、hCaptcha では、Cookie を使用してチャレンジ/レスポンス テストを完全にバイパスできます。理論的には素晴らしいアイデアですが、実際には機能しません。 ワンタイム コードは、SMS で特定の番号に送信する電子メールで受け取ることになっています。ユーザーは、標準テキストの CAPTCHA を完了するよう強制されるエラー メッセージを延々と受信すると報告しています。これは、サイトが構成中に明示的に有効にした場合にのみ使用できます。セットアップされていない場合は、スクリーン リーダーを認識しない画像チャレンジを完了する必要があります。 最初のプロセスが機能した場合でも、その後の認証はサードパーティのクロスサイト Cookie に依存しますが、ほとんどのブラウザーはこれを自動的にブロックします。また、コードは短期間で期限切れになるため、次のステップに進むのに時間がかかりすぎる場合は、プロセス全体をやり直す必要があります。 チームが CAPTCHA や同様の認証方法を使用するのはなぜですか? CAPTCHA は設定が簡単なため一般的です。開発者はそれが表示されるようにプログラムすることができ、テストは自動的に実行されます。こうすることで、スパム、詐欺、不正行為を防止しながら、より重要な問題に集中できます。これらのツールは、人間がインターネットを簡単に安全に使用できるようにするはずですが、実際の人間がログインできないようにすることがよくあります。 これらのテストは、全体的にユーザー エクスペリエンスを低下させる結果になります。ある調査によると、2023 年の時点で、ユーザーは 5,120 億回を超える reCAPTCHA v2 セッションで 8 億 1,900 万時間以上を無駄にしていることがわかりました。それにもかかわらず、ボットが蔓延しています。機械学習モデルは、テキストベースの CAPTCHA を 97% 以上の精度で数分の 1 秒以内に解決できます。 Google の reCAPTCHA v2 に関する 2024 年の調査では、reCAPTCHA v3 の展開にも関わらず依然として広く使用されており、ボットは、識別を担当しているオブジェクトに応じて、画像分類 CAPTCHA を最大 100% の精度で解決できることが判明しました。研究者らは無料のオープンソース モデルを使用しました。これは、悪意のある攻撃者がその成果を簡単に複製できることを意味します。 なぜ Web 開発者は CAPTCHA の使用をやめるべきなのでしょうか? CAPTCHA などの認証方法にはアクセシビリティの問題があります。機械学習の進歩により、これらのサービスはますます複雑化することを余儀なくされました。それでも、絶対確実というわけではありません。ボットが取得する人よりも正しいのです。調査によると、reCAPTCHA は 17.5 秒以内に完了し、85% の精度を達成できます。人間の作業では時間がかかり、精度も低くなります。 多くの人は CAPTCHA テストに失敗し、何が間違っていたのかわかりません。たとえば、「信号機のあるすべての四角形を選択する」ようにユーザーに指示するプロンプトは十分に単純に見えますが、ポールの一部が別の四角形にある場合は複雑になります。そのボックスを選択すべきでしょうか、それともアルゴリズムがそうするのでしょうか? ボットの能力は大幅に向上しましたが、人間は依然として変わっていません。テストが徐々に難しくなるにつれて、テストに挑戦する意欲が減ります。ある調査によると、59% 近くの人が、いくつかの嫌な経験をした後、製品の使用をやめるでしょう。認証が煩雑または複雑すぎる場合、Web サイトの使用を完全に停止する可能性があります。 技術的な理由など、さまざまな理由でこれらのテストに失敗する可能性があります。サードパーティ Cookie をブロックしている場合、ローカル プロキシを実行している場合、またはブラウザをしばらく更新していない場合は、何度試行しても失敗し続ける可能性があります。 CAPTCHA の認証の問題 前述の理由により、ほとんどの種類の CAPTCHA は本質的にアクセスできません。これらの挑戦と反応のテストは彼らのニーズを念頭に置いて設計されていないため、これは特に障害のある人に当てはまります。一般的な問題には次のようなものがあります。 ビジュアルとスクリーン リーダーの使用に関連する問題 ごちゃ混ぜで歪んだ単語は機械で読み取れないため、スクリーン リーダーは、歪んだテキスト テストなどの標準的なビジュアル CAPTCHA を読み取ることができません。画像分類とスライディング パズルの方法も同様にアクセスできません。 2023 年から 2024 年にかけて実施されたある WebAIM 調査では、スクリーン リーダー ユーザーは、CAPTCHA が最も問題のある項目であることに同意し、あいまいなリンク、予期しない画面変更、代替テキストの欠落、アクセスできない検索、キーボード アクセシビリティの欠如より上位にランク付けされました。そのトップの座は10年以上ほとんど変わっておらず、アクセス不能の歴史を物語っています。 聴覚と音声処理に関連する問題 Web 開発のベスト プラクティスでは、音声の自動再生を避け、ユーザー コントロールの重要性を強調しているため、音声 CAPTCHA は比較的一般的ではありません。ただし、音声 CAPTCHA はまだ存在します。難聴または聴覚障害のある人がこれらの検査を試みる場合、障害に遭遇する可能性があります。支援技術を使用したとしても、意図的な音声の歪みや背景ノイズにより、聴覚処理障害のある人にとってこれらのサンプルは理解が困難になります。 運動能力と器用さに関する問題 運動能力や器用さのスキルを必要とするテストは、運動障害や身体障害のある人にとっては困難な場合があります。たとえば、手の震えがある人は、スライディング パズルが難しいと感じるかもしれません。また、基準を満たす画像がなくなるまでさらに多くの画像を読み込む画像分類テストでは、課題が生じる可能性があります。 認知と言語に関連する問題 CAPTCHA がますます複雑になるにつれ、一部の開発者は創造的思考と批判的思考の組み合わせを必要とするテストに目を向けるようになっています。ユーザーに数学の問題を解いたり、パズルを完成させたりする必要があるものは、失読症、算数障害、視覚処理障害、または認知障害のある人にとっては困難な場合があります。 なぜ支援技術がギャップを埋められないのか CAPTCHA は人間が解釈して解決できるように意図的に設計されているため、スクリーン リーダーやハンズフリー コントロールなどの支援技術はほとんど役に立たない場合があります。 ReCAPTCHA はバックグラウンド アクティビティを分析するため、特に問題が発生します。アクセシビリティ デバイスにボットとしてフラグを設定すると、アクセスできない可能性のある CAPTCHA が提供されます。 たとえこのテクノロジーがギャップを埋めることができたとしても、Web 開発者はそれを期待すべきではありません。業界標準では、Web サイトを可能な限りアクセシブルで機能的なものにするために、ユニバーサル デザインの原則に従う必要があると規定しています。 CAPTCHA のアクセシビリティの問題は、それが効果的なセキュリティ ツールであれば許されるかもしれませんが、人間よりもボットの方が正確に理解できるため、絶対確実というわけではありません。なぜ効果がなく、障害を持つ人々にとって障壁となる方法を使い続けるのでしょうか? もっと良い代替手段があります。 アクセシブルな認証の原則 人間が常にアルゴリズムを上回るべきだという考えは時代遅れです。多要素認証 (MFA) など、より優れた認証方法が存在します。 2 要素認証市場は 2027 年までに推定 267 億ドルの価値に達すると予想されており、その人気が裏付けられています。このツールCAPTCHA は、たとえ正規の認証情報を使用した場合でも、不正なアクセスを防ぐため、より効果的です。
MFA テクニックにアクセスできることを確認してください。 Web サイト訪問者に複雑なコードを書き写させる代わりに、プッシュ通知または SMS メッセージを送信する必要があります。検証コードの自動入力を利用して、コードを自動的に取得して入力します。あるいは、「このデバイスを記憶」機能を導入して、信頼できるデバイスでの認証をスキップすることもできます。 Apple の 2 要素認証アプローチはこのように設計されています。信頼できるデバイスには 6 桁の確認コードが自動的に表示されるため、それを検索する必要はありません。 iPhone ユーザーは、プロンプトが表示されたら、モバイル キーボードの上に表示される候補をタップして自動入力できます。
シングル サインオンも別のオプションです。このセッションおよびユーザー認証サービスにより、ユーザーは 1 セットのログイン資格情報を使用して複数の Web サイトまたはアプリケーションにログインできるため、繰り返しの身元確認の必要性が最小限に抑えられます。 1 回限りの「マジック リンク」は、reCAPTCHA や一時的な PIN の優れた代替手段です。ユーザーはコードを覚えたりパズルを解いたりするのではなく、ボタンをクリックします。 WCAG 達成基準 2.2.3 によれば、障害のあるユーザーは特定のアクションを完了するのにより多くの時間を必要とするため、ユーザーは時間制限に直面すべきではないため、期限を課すことは避けてください。 あるいは、Cloudflare Turnstile を使用することもできます。 CAPTCHA を表示せずに認証が行われるため、ほとんどの人はボックスにチェックを入れたり、ボタンを押したりする必要さえありません。このソフトウェアは、舞台裏で小さな JavaScript チャレンジを発行することで機能し、ボットと人間を自動的に区別します。 Cloudflare Turnstile はあらゆる Web サイトに埋め込むことができるため、標準的な分類タスクに代わる優れた代替手段となります。 アクセシブルな認証設計のテストと評価 アクセス可能な代替認証方法をテストして評価することが不可欠です。多くのデザインは紙の上ではうまく見えますが、実際には機能しません。可能であれば、実際のユーザーからフィードバックを収集してください。オープンベータは、認知度を最大化する効果的な方法である可能性があります。 アクセシビリティに関する一般的な考慮事項は、障害のある人だけに当てはまるわけではないことを忘れないでください。また、神経発散型の人、モバイル デバイスにアクセスできない人、支援技術を使用している人も含まれます。代替デザインがこれらの人々を考慮していることを確認してください。
現実的には、誰もがユニークであるため、完璧なシステムを作成することはできません。多くの人は、複数のステップからなるプロセスに従うこと、方程式を解くこと、複雑な指示を処理すること、またはパスコードを覚えることに苦労しています。ユニバーサル Web デザインの原則により柔軟性は向上しますが、単一のソリューションですべての人のニーズを満たすことはできません。 使用する認証手法に関係なく、事前に複数の認証オプションをユーザーに提示する必要があります。彼らは自分たちの能力を最もよく知っているので、あらゆるエッジケースに対応するソリューションを過剰に設計しようとするのではなく、何を使用するかを彼らに決定させます。 設計変更によるアクセシビリティの問題への対処 手の震えがある人はスライディング パズルを完成できない可能性があり、一方、音声処理障害のある人は、歪んだ音声サンプルに問題を抱えている可能性があります。ただし、CAPTCHA は同様にアクセスできない場合が多いため、単に代替案に置き換えることはできません。 たとえば、微細なモーター制御が低下している場合、QR コードをスキャンするのが難しい場合があります。視覚障害のある人は、画面上でそれを見つけるのが難しい場合があります。同様に、顔の変形や可動域が制限されている人にとって、生体認証は問題を引き起こす可能性があります。アクセシビリティの問題に対処するには、創造的な思考が必要です。 開発者がユニバーサル デザインをより深く理解するには、Web Accessibility Initiative のアクセシビリティ チュートリアルにアクセスすることから始めます。これらのチュートリアルは認証よりもコンテンツに重点を置いていますが、それでも有利に使用できます。 CAPTCHA のアクセス不能に関する W3C グループの草案ノートには、より適切なガイダンスが記載されています。 始めるのは、ベスト プラクティスを調べるのと同じくらい簡単です。アクセシブルな Web デザインに普遍的なソリューションはないため、基本を理解することが不可欠です。アクセシビリティを最適化したい場合は、実際に Web サイトを訪問する人々からフィードバックを得るように検討してください。 さらに読む
「The CAPTCHA: 展望と課題」ダルコ・ブロディッチとアレッシア・アメリオ 「画像の上にアクセシブルなテキストをデザインする: ベスト プラクティス、テクニック、リソース」ハンナ ミラン 「最高の CAPTCHA を求めて」David Bushell 氏 「WCAG 3.0 が提案するスコアリング モデル: 変化」アクセシビリティ評価博士」ミハイル・プロスミツキー
