セキュリティ & アイデンティティ

reCAPTCHA Enterprise のアカウント防御でユーザーのアカウントを保護する

2022年3月16日

https://storage.googleapis.com/gweb-cloudblog-publish/images/reCAPTCHA.max-2600x2600.jpg

Google Cloud Japan Team

※この投稿は米国時間 2022 年 3 月 11 日に、Google Cloud blog に投稿されたものの抄訳です。

reCAPTCHA Enterprise は、10 年以上にわたるインターネット防御の経験を活かした Google のオンライン詐欺検出サービスです。reCAPTCHA Enterprise は、スクリプト、bot ソフト、または人間によって行われる詐欺や攻撃を防ぐために使用することが可能です。ウェブページにインストールされていると、ログイン、購入、アカウント作成などのアクションが行われた時点で reCAPTCHA Enterprise は正規ユーザーが進行できるようスムーズなユーザーエクスペリエンスを提供する一方で、不正ユーザーと bot をブロックします。

お客様の口座や決済を狙うオンライン詐欺に対抗するため、より多くのツールを提供するための継続的な投資の一環として、アカウント防御の公開プレビューを発表します。これは、reCAPTCHA Enterprise に組み込まれた新しい機能で、ある行動がアカウント所有者の典型的な行動と一致しているか、または逸脱しているかを判断するのに役立ちます。

https://storage.googleapis.com/gweb-cloudblog-publish/images/Account_defender_slide.max-2000x2000.jpg

アカウント防御とは

アカウント防御が reCAPTCHA Enterprise の従来の検出を一歩前進させます。そのリクエストが、お客様のウェブサイトだけでなく、アカウントから示される通常の行動パターンに合致しているかどうかを分析します。この解析は、サイト固有のモデルを用いて、お客様のウェブサイト全体の典型的な行動パターンを観察し、疑わしい行動やアクティビティの変化を検出することによって実現されます。サイト固有のモデルを使用することで、reCAPTCHA Enterprise アカウント防御は、これらの主なシナリオを検出するのに役立ちます。

アカウントの乗っ取りや偽アカウントの可能性に関連する不審な行動
類似の動作をするウェブサイト上のアカウント
特定のユーザーに対して信頼できるとマークされたデバイスからのリクエスト
偽口座

アカウント防御を使用することで、以下のことができます。

不正なアカウントの制限や無効化
アカウントの乗っ取りの試みを防ぐ
正常なアカウントの乗っ取りを軽減する
正当なユーザーアカウントからのリクエストにのみアクセスを許可する
信頼できるデバイスからのユーザーログインをスムーズにする

アカウント防御の仕組み

reCAPTCHA Enterprise アカウント防御は、サイト所有者の仮名アカウント識別子（プロダクトでは hashedAccountId とラベル付けされています）にアクティビティを紐づけます。これはユーザーのプライバシーを守るためで、ユーザーの身元はサイト所有者が平文のユーザー名と結びつけられるだけです。ユーザーアカウント識別子は、サイト所有者がそのアカウントに関連するデータに注釈を加えるために使用されます。たとえば、サイト所有者はユーザーに対して 36228b7496a6ab9bb5fecf12b5799105 のような一意の hashId を生成します。そのユーザーからのすべてのリクエストは、「ログイン」、「サインアップ」、「支払い」、「検索」などの機密性の高いアクションに対してこのハッシュを含める必要があります。これにより、reCAPTCHA Enterprise はサイト固有のモデルを構築して、このアカウントが乗っ取られたものか偽物かを判断できます。

https://storage.googleapis.com/gweb-cloudblog-publish/images/hashedaccountid.max-900x900.jpg

すでに提供されている Annotations API と組み合わせると、サイト所有者は不正なパスワード入力や 2 要素認証プロセスの通過など、アカウント関連のメタデータを送信でき、reCAPTCHA Enterprise が疑わしい活動パターンを判断するのに役立ちます。

アカウント防御がなぜその決定を下したかを理解するために、これがユーザーにとって予想される行動であることを示すために、追加の詳細を返します。一方、今回のリクエストのような不正なリクエストを見たことがある場合、アカウント防御はこのリクエストを不審なログインまたはアカウント作成のいずれかであるとラベル付けします。

あるユーザーからウェブサイト上で不正が検出された場合、サイト所有者は関連アカウントの API を使用して、類似のユーザーを検索できます。これにより、サイト所有者は、類似した行動をとるハッシュ化されたアカウント識別子をすべて知ることができ、これらのアカウントが不正でないかどうかを調査することも可能になります。新たな悪質なアカウントを見つけるには、アカウントグループを調べ、その使用パターンを分析することで悪質なアカウントかどうかを判断できます。これにより、サインアップ、ログイン、支払いなど、ウェブサイト上のすべての機密行為を保護できます。

多要素認証と推奨アクションでアカウントのセキュリティをさらに強化

reCAPTCHA Enterprise の多要素認証とインテグレーションした場合、アカウント防御は、ユーザーにチャレンジすべきかどうかを示す推奨される対応を返します。この機能により、リアルユーザーの摩擦を軽減し、SMS 認証にかかるコストを削減できます。Google 以外の MFA プロバイダを使用している場合、これと同じ機能をアノテーション API で実現できます。