reCAPTCHA Enterprise でユーザーの安全を確保する

※この投稿は米国時間 2020 年 5 月 8 日に、Google Cloud blog に投稿されたものの抄訳です。

世界中で、さまざまな企業がビジネスを継続するためにオンライン対応の拡大に取り組んでいます。安全のためにリモートワークを推進する、顧客との接点を円滑にするなど理由はさまざまですが、こうした急激な変革は、特に IT チームには大きな負荷となります。 

さらに、サイバー犯罪でも、現在の情勢を悪用した新たな手口が浮上してきています。

今年はじめに一般提供を開始した reCAPTCHA Enterprise は、不正なアクティビティ、スパム、不正行為からウェブサイトを保護する Google Cloud のサービスです。今日は、このサービスがどのようにして最も頻発するウェブベースの攻撃を検出し、エンドユーザーや企業に降りかかるリスクを低減するかを説明します。 

仕組み

reCAPTCHA Enterprise は、フリクションレスで不正行為を検出するサービスです。Google が、インターネットや 400 万ものサイトからなる自社ネットワークのデータを防御してきた、10 年以上の経験が活かされています。不正行為を検出して防止するために、ログイン認証、購入ページ、アカウント作成などのアクションが行われるウェブページにインストールできます。正当なユーザーはログイン、購入、ページ閲覧、アカウント作成ができますが、不正なユーザーはブロックされます。

reCAPTCHA Enterprise の中核となっているのは、人間とボットを区別する高度なリスク分析戦略です。きめ細かなリスクスコア、高リスクスコアの理由コードなど、セキュリティ業務のための機能も充実しています。サイト独自のニーズに合わせてリスク分析エンジンを調整することもできます。たとえば、どのようなアクションにでも不正行為のリスクスコアを付けることができ、不審なアクティビティの通知を受けることができます。

reCAPTCHA Enterprise の適応型リスク分析エンジンは、ボットや他の自動化された攻撃を阻止し、正当なユーザーを承認する、適切なセキュリティ対策を可能にします。 

reCAPTCHA で阻止できる攻撃をいくつかご紹介します。  

アカウントの乗っ取りと不正使用: これは、攻撃者が盗用または漏えいした認証情報を使用してログインし、正当なユーザーのアカウントを乗っ取る攻撃です。最近は認証情報の流出が増加しており、こうした攻撃が急増して最大の脅威となっています。正しいパスワードを求めるだけでは、もはや認証形式として十分ではありません。セキュリティを保護するための第 2 の要素と組み合わせる必要があります。

不正なトランザクション: 不正行為者は、偽造または盗んだクレジット カードを使用してオンラインで購入します。その結果、チャージバックや法執行機関の介入につながることがよくあります。これはビジネスの時間と費用を浪費するだけでなく、クレジット カードのデータベースを悪用する組織犯罪から貴社のサイトが標的にされることにもなります。 

スクレイピング: e コマース、旅行、ソーシャル メディア、ニュースなど、さまざまな業界の企業は占有するコンテンツを主要な差別化要素にしています。信頼性の低い組織は、再発行や競合情報の収集のために、こうしたコンテンツをボットを使用して盗むことがよくあります。

合成アカウント: マーケットプレイス、e コマース、ソーシャル メディアのサイトにおけるあらゆる不正行為は、合成アカウントの作成から始まります。不正行為者は、不正使用、誤った情報の拡散、虚偽のリストの作成など、さまざまなアクティビティにこのアカウントを悪用する恐れがあります。 

reCAPTCHA Enterprise の実用例をご紹介した、以下の動画をご覧ください。

reCAPTCHA で阻止できるさまざまな種類の攻撃について詳しくは、ドキュメントをご覧ください。reCAPTCHA の使用を始める場合は、ぜひお問い合わせください。