Cloudflareは水曜日、プライバシーと可用性、そして主にコストへの懸念から、GoogleのreCAPTCHAボット検出機能を廃止し、hCaptchaと呼ばれる類似のサービスに移行すると発表した。
ネットワークサービス事業を展開する同社は、reCAPTCHAが無料かつ効果的で、大規模に機能するという理由から、当初reCAPTCHAを採用したと述べた。しかし、Cloudflareの一部の顧客は、データがGoogleに送信されることに懸念を示している。
約120万のウェブサイトで使用されているGoogleのreCAPTCHA v3は、ウェブパブリッシャーがCAPTCHA(コンピュータと人間を区別するための完全に自動化された公開チューリングテスト)と呼ばれるパズルを提示する方法を提供します。CAPTCHAは通常、ウェブサイトの自動操作と人間の操作を区別できますが、常に区別できるとは限りません。このようなチャレンジを提示する目的は、ボットによる偽アカウントの登録やその他のオンライン不正行為を防ぐことです。
CEOのマシュー・プリンス氏と製品マネージャーのセルジ・イサシ氏はブログ記事で、Googleは広告ビジネスであり、Cloudflareはそうではないが、一部の顧客に警戒心を抱かせたとしても、CloudflareはGoogleのプライバシーポリシーに従ったと指摘した。
業界関係者は、中国でGoogleサービスが断続的にブロックされていることから、reCAPTCHAの利用可能性についても懸念を抱いている。中国は世界のインターネット利用者の約4分の1を抱えているため、アクセスできないreCAPTCHAパズルで遮断されたウェブサイトには、相当数のユーザーがアクセスできない可能性がある。
プリンス氏とイサシ氏は、Cloudflareが中国をはじめとする地域でこの問題を抱えていると指摘している。しかし、過去10年間で、対策を講じるほどの問題にはなっていない。
最後に、今年初め、Google は Cloudflare に対し、ユーザーが回答することでサービスと機械学習システムが向上するためこれまで無料で提供していた reCAPTCHA を有料化する計画を伝えた。
Googleの広報担当者はThe Registerへの電子メールで、1ヶ月あたり100万クエリ、または1秒あたり1,000 API呼び出しを超えない限り、reCAPTCHAには料金はかからないと述べた。
Chromeは本当にインストールID番号を使ってGoogleサイト上で密かにユーザーを監視しているのか?真実を明かす
続きを読む
顧客に無料で提供していたサービスに何百万ドルも支払う可能性に直面した Cloudflare は、何か対策を講じる必要があると判断しました。
「それが最終的に、私たちがより良い代替案を探すのに十分なきっかけになった」とプリンス氏とイサシ氏は語った。
業界は新たなプロバイダーを選ぶためのコンテストを開催し、reCAPTCHA の代替として昨年リリースされたサービスである hCaptcha を選んだ。
プリンス氏とイサシ氏によると、hCaptchaは個人データを販売しておらず、Cloudflareから収集した情報はサービスの向上にのみ使用すると約束している。また、サービスは優れたパフォーマンスを発揮し、視覚障害者やその他のアクセシビリティに懸念のある人向けのオプションも用意されているという。
最後に、hCaptcha は Google サービスがブロックされている場所でも機能し、応答性も高かったと指摘しています。Google はこれまで、丁寧な顧客サポートで知られていることはありません。
The Registerは、Cloudflareに対し、自動化システムがhCaptchaとreCAPTCHAのパズルを解読する際の性能を比較したデータを提供するよう要請しました。Cloudflareは、hCaptchaを漠然と支持する立場を改めて表明しました。
「hCaptchaは、少なくとも私たちが目にする変更に対して同等の安全性と対応速度を備えています」と、イサシ氏はThe Registerへのメールで述べています。「hCaptchaには多くのオプションがあり、顧客への攻撃に対してより直接的に対応できます。」
hCaptcha は、支払いに Ethereum ブロックチェーンを使用する入札システムで動作しますが、このサービスは、エンタープライズ顧客とのより伝統的な支払いスキームに依存しています。
Cloudflare は、画像の分類を必要とする顧客に料金を請求したり、Web パブリッシャーに hCaptcha をサイトに設置する料金を支払ったりする代わりに、サービス料金を直接支払い、それを無料顧客と有料顧客に同様に提供しています。
hCaptchaの開発元Intuition MachinesのCEO、エリ=シャウル・ケドゥーリ氏は、 The Registerへのメールで、同社はブロックチェーン技術を適切な場合にのみ使用していると述べた。「複数当事者間の取引がなければメリットは薄れますが、変更不可能な監査ログがあれば、状況によってはメリットになることもあります」とケドゥーリ氏は述べた。
ケドゥーリ氏によると、hCaptchaはCloudflareとの提携以前、月間10億件以上のリクエストを処理しており、そのほぼすべてが数千のパブリッシャー向けのイーサリアムバウンド関連だったという。このビジネスは継続しており、hCaptchaのエンタープライズ版は、両サービスの混同を避けるため、最終的にブランド名を変更する予定だという。
ケドゥーリ氏は、hCaptchaとreCAPTCHAが自動攻撃に対してどのように機能するかを比較したデータを公開することには消極的だったが、「A/Bテストでは、パフォーマンス(速度と解決率の両方)は予想と同等かそれ以上だった」というCloudflareの声明を指摘した。
「話によると、ダークウェブ側は彼らが切り替えた時に激怒したそうです」と彼は言った。「たくさんの迷惑な人が苦情を言っていました。」
しかし、Cloudflareは音声と画像によるCAPTCHAを最終的に廃止したいと考えている。これは、これらのCAPTCHAが「多くの難題に対する不完全な解決策」であるためだ。一方、reCAPTCHAの旧バージョンであるv2は、適切な条件下では92%以上の確率で破られる可能性がある。
Prince 氏と Isasi 氏は、Cloudflare は CAPTCHA の排除に取り組んでおり、その取り組みの詳細を随時共有していくと述べています。®
