reCAPTCHA v3を使え!導入方法を詳しく解説【セキュリティ対策】
スパム対策には「reCAPTCHA v3」がおすすめです。
「reCAPTCHA v3」はその名の通り、reCAPTCHAシリーズの1つで、以前のv2よりもユーザビリティが向上しています。
この記事では、reCAPTCHA v3が機能する仕組みや特徴、導入方法などを詳しく解説します。
- 目次
reCAPTCHA v3とは?
「reCAPTCHA」とは、Googleが提供するWebセキュリティサービスの1つです。
簡潔にいえばbot対策に使用されるツールで、Webサイトやアプリケーションのセキュリティを向上させることができます。
もしかして、読みにくい文字を読んで入力したり、写真を選択したりするやつですか?
そうです!あの認証機能が、reCAPTCHAの機能によるものなのです。
reCAPTCHA v3は名前のとおり、reCAPTCHAの「v3」で、v2よりも新しいバージョンとなっています。
v2では「私はロボットではありません」のチェックボックスや、画像による認証をクリアする必要がありましたが、v3ではこういったユーザー側のアクションは不要です。
reCAPTCHA v3を導入すれば、ユーザーが意識的にアクセスしているのか、もしくはbot(自動プログラムなど)が不正にアクセスしているのかを識別できます。
reCAPTCHA v3の仕組み
reCAPTCHA v3は、botと人間が通常どのようにブラウザを使用することが多いか学習し、ユーザーの傾向を掴みます。
特に評価で重要視されるのは、以下のような行動です。
- フォームの送信回数やクリック数
- これまでどのようなWebサイトにアクセスすることが多かったか
- 訪問ページではどのような挙動を取っていたか
このような情報を取得して傾向を掴み、各アクションに対して0.0~1.0のスコアをつけます。
過去の挙動と似たようなアクションであれば1.0に近い数字を、botと疑われる場合は0.0に近い数字がつけられるという仕組みです。
アクセスしただけでbotと判断しているわけではないんですか?
人間もbotもリクエストを通すけど、行動にスコアをつけて怪しい場合にはbotとして対処するイメージです!
短時間に過度なアクセスやフォーム送信がある場合はbotによるものだと疑われるため、不正なアクセスとして判断されるのです。
reCAPTCHA v3の特徴
reCAPTCHA v3には、以下3つの特徴があります。
feature 1
botからの保護ができる
ここまで紹介してきたように、reCAPTCHA v3を導入すると、Webサイトやアプリケーションを保護できます。
botは通常、高速・短時間で大量のアクセスを試みたり、一般ユーザーでは見られない異常な行動パターンを示したりすることが多いです。
そこでreCAPTCHA v3は、ユーザーの利用状況や行動パターンなどの要因を分析し、異常なアクセスを検出します。
これによって、botによる不正なアクセスや攻撃をブロックすることが可能です。
feature 2
ユーザーエクスペリエンスが向上する
従来の方式ではbotかどうかを確認するために、ユーザーに歪んだ文字や画像の認識、チェックボックスの操作など、面倒な認証プロセスを要求していました。
一方でreCAPTCHA v3は、ユーザーに対して目に見える認証プロセスを要求しません。ユーザーがストレスを感じないため、離脱率が低下し、サービスの利用が容易になるのです。
feature 3
トラフィック分析ができる
reCAPTCHA v3で取得するトラフィックデータをWebサイトの運営者目線で評価すれば、Webサイトの最適化や改善の方針を立てるのにも役立ちます。
もし異常なアクセスの増加や不審なアクションが多い場合、運営者にアラートを送信する機能があります。
トラフィック分析を通じてセキュリティ対策を強化するきっかけになるほか、不正アクセスに対処するための情報を収集できるのです。
reCAPTCHA v3の導入手順
大手のサイトじゃなくても、reCAPTCHA v3を導入することは可能なのでしょうか?
可能です!
こちらでは、WordPressでContact Form 7を使用しているケースを例に、導入手順を解説していきます。
STEP 1
Google reCAPTCHAアカウントの作成
最初に、Google reCAPTCHAのページにアクセスし、アカウントを作成するか既存のGoogleアカウントでログインします。
STEP 2
保護するWebサイトの登録
reCAPTCHAのダッシュボードにログインしたら、「v3 Admin Console」から「新しいサイトを登録する」を選択しましょう。
登録フォームに、以下のWebサイトの情報を入力します。
- Webサイトの名前
- Webサイトのドメイン
- reCAPTCHAの利用目的
これらの情報を入力したら、reCAPTCHAのバージョン「reCAPTCHA v3」を選択してください。
「ラベル」に関しては、どのWebサイトを登録したかわかりやすいようにするものです。任意の名前で構いません。
STEP 3
利用規約の同意とキーの取得
Googleの利用規約とプライバシーポリシーに同意したら、登録の完了です。
この完了に伴い、Googleからサイトキーとシークレットキーが生成されます。
キーは機密情報なので、安全に保存しましょう。
STEP 4
Contact Form 7にキーを入力
WordPressの場合、
お問い合わせ→インテグレーション→reCAPTCHAの「インテグレーションのセットアップ」
と選択していくと「外部APIとのインテグレーション」の画面に進みます。 ここでサイトキーとシークレットキーを入力しましょう。これで導入は完了です。
導入が完了すると、Webサイトの右下にreCAPTCHAのロゴが表示されます!
reCAPTCHA v3の使用にあたっての注意点
先ほども説明したように、reCAPTCHA v3を導入すると、Webサイト上にreCAPTCHAのロゴが表示されてしまいます。
このロゴはページの右下に表示されることが多いですが、場合によってはサイト内のボタンと重なってしまうことがあります。
ロゴを消したい場合は、Googleから公開されている以下の方法をお試しください。
まずは下記のコードを、WordPressの追加CSSにコピペします。
ロゴ削除用コード
- grecaptcha-badge { visibility: hidden; }
こちらのコードを設定すれば、ロゴを削除することができます。
ただし、reCAPTCHAを使用している旨はユーザーに伝わるようにしなければなりません。
そこでユーザーからのアクセスが集まる「お問い合わせフォーム」の下部に、文章で記載をしておきましょう。
文言追加用コード
This site is protected by reCAPTCHA and the Google
<a href=”https://policies.google.com/privacy”>Privacy Policy</a> and
<a href=”https://policies.google.com/terms”>Terms of Service</a> apply.
引用:よくある質問|reCAPTCHA
上記のコードを追加しておけば問題ありません。
ロゴを消したい場合は、必ず導入とセットで対応しておきましょう。
reCAPTCHA v3についてよくある質問
reCAPTCHA v3のデメリットはなんですか?
reCAPTCHAはユーザーの行動パターンを追跡してスコアを生成するため、一部のユーザーからプライバシーへの懸念が挙がることがあります。
特に、ユーザーがトラッキングを嫌がる場合、これが問題になるかもしれません。
また完全なスパム・bot対策ができるわけではないこともデメリットといえます。
攻撃者がスコアを操作する方法を見つければ、reCAPTCHAがユーザーからのアクセスだと誤認してしまうかもしれません。
reCAPTCHAのv3とv2の違いは何ですか?
v3は一度導入をしてしまえば自動でセキュリティ対策が行われるので、ユーザーエクスペリエンスを最優先しています。
一方でv2は画像や文字での認証を行っているため、ユーザーの工数が増えてしまうという点がデメリットです。現在の主流はV3と考えましょう。
まとめ
reCAPTCHA v3は迷惑なスパム、bot対策として重宝するセキュリティ対策ツールです。v2よりもユーザビリティは向上しているため、導入のリスクも少なくなっています。
導入後のロゴ対策は必要になりますが、順を追って対応していけば難しいものではありません。
スパム対策をお考えでしたら、ぜひこの記事を見て対応してみてください。
