「私はロボットではありません」は最早セキュリティ対策をしては不適切

ぜひシェア願います!
Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
Linkedin

【これは約 5 分の記事です】

組織の従業者・学校の生徒児童・地域の方々に、情報セキュリティ及び防災への啓発活動をするセキュリティ解説者、佐藤英治です。

今回は「私はロボットではありません」はもやはセキュリティ対策としては不適切、ということを書こうと思います。

私はロボットではありません

「私はロボットではありません」とは

CAPTCHAと呼ばれますが、これは、

Completely Automated Public Turing test to tell Computers and Humans Apart

つまり、

コンピュータと人間の区別のための完全に自動化された公開チューリングテスト

です。

CAPTCHAにはいろいろなものがあり、

  • ゆがんだ文字を識別させ入力させる
  • ある画像を見せ、その画像が指定したある者であるかどうかを判断させる

「私はロボットではありません」と「CAPTCHA」という用語でイメージするものは、もしかしたら人によっては違うかもしれません。ですが、それは「俺の言葉の使い方と違う」というだけのお話なので、今回は「人間かロボットかを受付側が判断するために相手に何らかの操作を促す仕組み」のことを「私はロボットではありません」や「CAPTCHA」と呼んでいる、と解釈してください。

この「私はロボットではありません」、スパムなどを除外するためのセキュリティ上の仕組みとして導入している例を見かけますが、もはやこの仕組みはセキュリティ対策としてはふさわしくないと考えたほうがいいと思います。

セキュリティ以外の理由

「私はロボットではありません」が好ましくないセキュリティ以外の理由は、「アクセシビリティ」です。例えばこのブログの最初出した画像では「白いマス」という色を識別させています。

このような識別は視覚障害を持った人にとってはアクセスの妨げになります。もちろんこの問題を回避するために音声による識別方法も用意されているのが一般的ですが、アクセシビリティが悪いということが「私はロボットではありません」が好ましくない理由の一つであることは間違いないでしょう。

利用者の心理的虚を突いて操作を誘発する

セキュリティ上の問題は「利用者が心理的抵抗なく操作をしてしまう」ので、利用者に知らないうちに意図しない操作をさせることができることです。「ロボットではない」というボタンを押しているつもりが、別の操作をさせられる。そういうことができるということです。

それ自体が情報収集の手段

「何を白とみなすか」という質問に対する答えは、それ自体が情報収集です。この程度の質問であれば問題ないと思うでしょうが、それは程度問題にしかすぎません。

私は「秘密の質問」もセキュリティ対策として反対していますが、反対の理由の一つが「それ自体が情報収集の手段」でもあるからです。

問題はロボットかどうかではなく悪意

「私はロボットではありません」を「セキュリティ対策」として採用することは、「問題をはき違えている」と言っていいでしょう。

防ぐべきは「悪意」であって「ロボット」ではありません。

確かに悪意あるものは対費用効果を考えてロボットによるアクセスを試みることが多いので、ロボットを排除すれば結果的に悪意あるアクセスを防ぐことが最初のころは出来ました。

しかし、悪意とCAPTCHAのイタチごっごで、悪意あるものはCAPTCHAを乗り越え、正規のユーザである人間にとってCAPTCHAの難易度が高くなって対応負荷が高くなっています。

「悪意あるものに負荷が高く」「正規の利用者には負荷が軽い」これが望ましいのです。

「私はロボットではありません」はもやはセキュリティ対策として不適切

タイトルを繰り返しているだけですが、再三申し上げます。

利用者をだます手段になりうるこの手法は、もはや正規の利用者の負荷を高めるだけになりつつあります。

この投稿を行っている昨今(2021年5月20日)では唐突に「私はロボットではありません」の操作を求めるサイトも現れています。

意味もない「私はロボットではありません」。よく見かけるからと言って安易に回答すべきではないでしょう。

ぜひシェア願います!
Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
Linkedin