Etsy が reCAPTCHA Enterprise を使用してお客様に負担をかけずに不正行為を防止した方法

※この投稿は米国時間 2021 年 10 月 6 日に、Google Cloud blog に投稿されたものの抄訳です。

Etsy の基本理念は商取引を人間味あるものに保つことで、Etsy.com では 520 万の販売者と、人間味のある特別なアイテムを探し求める 9,050 万を超えるアクティブな購入者をつなげる世界規模のマーケットプレイスを提供しています。活気のあるグローバル コミュニティが今後も成長、繁栄していくためには、プラットフォーム上での交流が安心、非公開、安全でなければなりません。

他の多くのオンライン ビジネスと同様に、COVID-19（新型コロナウイルス感染症）のパンデミックにより e コマースに人が流入したことで、この 1 年間で Etsy のトラフィックも急激に増加しました。これを受けて、当社はブランド、収益、お客様に影響を与えかねない潜在的な課題に先回りして対処したいと考えるようになりました。

トラフィックの増大により、クレデンシャル スタッフィング攻撃を試みる bot 攻撃の増加を目の当たりにしました。多数のウェブサイトでパスワードを使い回すケースはよくあるため、認証情報のスタッフィングを行う人物は、他企業のデータ侵害により漏えいしたパスワードの一覧を使って Etsy でもその認証情報を試すであろうと推測しました。また、攻撃者はパスワードの再設定フォームやメーリング リストの登録のような、未認証のフォームを不正使用するだろうと考えました。

これらは検出を試みた不正行為のほんの一例にすぎず、脅威は常に複雑さを増しながら進化しています。こうした理由から、当社では継続的にツールを再評価し、定期的にサードパーティ製品を研究して、セキュリティ対策の向上を図っています。

パンデミックが始まって以降、不正行為からの保護のために導入した中で最も重要な製品の一つだったのが、Google Cloud の reCAPTCHA Enterprise でした。これは、スムーズな bot 対策ソリューションで、不正な HTTP リクエストを分類します。reCAPTCHA Enterprise の導入を選択した理由の一つは、その柔軟性です。どういったアクションを取るか（リクエストのブロックなど）を指示するのではなく、特定のユーザーの操作を分類した情報を含む評価が提供されます。このデータを内部の自動制御と組み合わせることで、データに基づく意思決定をほぼリアルタイムで行うことが可能になります。

Etsy では主にリスクスコアを使用していますが、reCAPTCHA Enterprise では理由コードや、情報漏洩した別のサイトで使われていたパスワードをユーザーが使い回していないかどうかを安全に確認する追加の機能も提供しています。reCAPTCHA Enterprise は 500 万以上のサイトを保護しているため、Etsy だけでは識別できない攻撃パターンを認識できる可能性もあります。reCAPTCHA Enterprise はユーザーの操作を一切必要としないため、これらすべての情報をユーザーに心理的負荷をかけることなく活用できます。reCAPTCHA Enterprise は、設計上の懸念がなく最小限の労力でどのページにも追加できるため、セキュリティ チームにとっては大きな収穫です。

これまでは、不正の可能性があるリクエストにキャプチャによる認証を求めていました。それが、reCAPTCHA V1 の場合はテキストベースによる認証、reCAPTCHA V2 の場合はイメージベースによる認証が提供されます。画像認識技術は近年、磨きがかかっており、現在のイメージ キャプチャによる認証は数年後には使われなくなる可能性があります。そのため、Etsy では reCAPTCHA Enterprise を使用しています。それにより、ウェブページを保護しながらスムーズなカスタマー エクスペリエンスも維持できています。

reCAPTCHA Enterprise の柔軟性であれば、不審な行為をブロックするタイミングを決めることができ、そのプロセスをエンドユーザーには見えないようにすることが可能です。ウェブページ上でのユーザーの意図についてさらに情報が必要な場合は、メールや SMS による確認をリクエストすることができます。この適応力のおかげで、reCAPTCHA Enterprise を希望どおりに Etsy のページで使用することに関して最終的な意思決定者となることができています。

reCAPTCHA Enterprise の統合を決めた後、ログインやショップの開店などのユーザー ワークフローのいくつかのポイントに reCAPTCHA Enterprise を追加しました。まずはデータベースに評価をロギングし、保存することから始めました。こうした情報は、その後の分析のために Google の BigQuery に複製されます。これらすべてが、ユーザー エクスペリエンスを損なうことなくシームレスに実行されます。

成果はすぐに現れました。reCAPTCHA Enterprise がウェブサイト内でリスクスコアが高い場所を示すグラフを提示し、不正行為に利用されうる要素を示したことで、適切な優先順位付けが可能となりました。加えて、保存していた既存のツールからの評価データを組み合わせることで、悪意のあるユーザーを締め出し、コミュニティへの潜在的な損害を防ぎました。こうしたデータポイントは Trust & Safety and Security チームで利用し、クレデンシャル スタッフィングのような bot 活動の特定に役立てています。

評価で正当なユーザーを不正として誤って分類してしまった場合は、reCAPTCHA Enterprise が提供するアノテーション API で、情報を追加して以前の評価にアノテーションを付けることができます。これにより基盤となるエンジンがトレーニングされ、トラフィックの理解が深まり、不正な bot 活動の検出精度が向上します。

reCAPTCHA Enterprise をログインフローに追加したことで、素晴らしい成果が現れ、このツールへの信頼は強固なものになりました。基本構造が出来上がった後、再利用可能なライブラリに Etsy 固有のコードをパッケージ化しました。これにより、会話のページやパスワードを忘れた場合のページのような、プラットフォームの他の部分にも reCAPTCHA Enterprise をすぐに追加することができました。これにより、ウェブページをすばやく保護できるようになり、攻撃が起こる前に対処が可能になりました。

さらに、必要に応じて bot 攻撃を即座に防ぐことにも、うまく対応できています。総合的に見て、reCAPTCHA Enterprise を bot 管理戦略ツールとして使用したことにより大きな収穫が得られたため、Etsy コミュニティの安全を保つうえで有意義な投資であったと確信しています。

- Etsy、シニア セキュリティ エンジニア Ivan Tse