このページでは、スコアを解釈して、ユーザー インタラクションによって生じるリスクのレベルを理解し、サイトに適した措置を講じる方法について説明します。
reCAPTCHA Enterprise は、キーのタイプに関係なく、サイトとのインタラクションに基づいて各リクエストのスコアを返します。reCAPTCHA Enterprise からスコアを入手したら、そのスコアを解釈して、サイトで適切な対応を行う必要があります。
準備
評価を解釈する
バックエンドが reCAPTCHA Enterprise にユーザーの reCAPTCHA レスポンス トークンを送信すると、次の例に示すように JSON レスポンスとして評価を受け取ります。
評価を解釈するには、次のパラメータを考慮します。
valid
: 提供されたユーザー レスポンス トークンが有効かどうかを示します。valid = false
の場合、理由はinvalidReason
に指定されます。valid = false
は、ユーザーがチャレンジに失敗したか、siteKey
の不一致があることを示しています。invalidReason
:valid = false
時のレスポンスに関連付けられた理由。action
: reCAPTCHA Enterprise の検証をトリガーするユーザー インタラクション。expectedAction
: 評価の作成時に指定した、予想されるユーザーのアクション。score
: ユーザー インタラクションが与えるリスクのレベル。reasons
: reCAPTCHA Enterprise がユーザー インタラクションをどのように解釈したかに関する追加情報。{ "event":{ "expectedAction":"EXPECTED_ACTION", "hashedAccountId":"ACCOUNT_ID", "siteKey":"KEY_ID", "token":"TOKEN", "userAgent":"(USER-PROVIDED STRING)", "userIpAddress":"USER_PROVIDED_IP_ADDRESS" }, "name":"ASSESSMENT_ID", "riskAnalysis":{ "reasons":[], "score":"SCORE" }, "tokenProperties":{ "action":"USER_INTERACTION", "createTime":"TIMESTAMP", "hostname":"HOSTNAME", "invalidReason":"(ENUM)", "valid":(BOOLEAN) } }
操作を確認する
JSON レスポンスには、execute()
を呼び出すときにユーザー インタラクションとして指定した action
パラメータと、評価の作成時に指定した expectedAction
パラメータが含まれます。
action
が expectedAction
と一致することを検証します。たとえば、login ページで login
アクションが返されます。不一致が存在する場合は、攻撃者が操作を偽装しようとしていることを示しています。ユーザー インタラクションに対して、追加の検証を行う、またはインタラクションをブロックするなどのアクションを講じて、不正なアクティビティを防止できます。
スコアの解釈
reCAPTCHA Enterprise のスコアリング システムは、以前のバージョンの reCAPTCHA からの拡張であり、より詳細なレスポンスを可能にします。reCAPTCHA Enterprise には、0.0 から 1.0 までの範囲のスコアを持つ 11 のレベルがあります。スコア 1.0 は、インタラクションのリスクが低く、正当である可能性が非常に高いことを示します。一方で 0.0 は、インタラクションのリスクが高く、不正行為の可能性があることを示します。11 のレベルのうち、デフォルトで使用できるスコアレベルは、0.1、0.3、0.7、0.9 の 4 つのみです。
セキュリティ審査後には、11 すべてのスコアレベルにアクセスできます。11 のスコアレベルへのアクセスをリクエストするには、Google のセールスチームまでお問い合わせください。
reCAPTCHA Enterprise は、サイト上の実際のトラフィックをモニタリングすることで学習していきます。したがって、ステージング環境と実装から 7 日以内のスコアは、長期の本番環境スコアとは異なる場合があります。
スコアベースのキーをインストールした場合は、最初に何も操作せずに reCAPTCHA Enterprise を実行してから、トラフィックを確認してしきい値を決定できます。
スコアに基づいて、サイトのコンテキストで適切なアクションを講じることができます。サイトをより適切に保護するには、トラフィックをブロックするのではなく、バックグラウンドでアクションを講じることをおすすめします。
次の表に、実行できる操作の一部を示します。
使用例 | 対応 |
---|---|
ホームページ | スクレーパをフィルタリングしながら、管理コンソールにトラフィックの統合ビューを表示します。 |
login | スコアが低い場合は、MFA またはメール確認を必須にして、認証情報の盗み取り攻撃を回避します。 |
ソーシャル | 不正行為者からの未承認の友達リクエストを制限し、危険性のあるコメントを管理者に送信します。 |
e コマース | 実際の販売を bot に先だって実施し、危険性のあるトランザクションを特定します。 |
理由コード
理由コードはセキュリティ審査の後に利用できるようになります。理由コードへのアクセス権をリクエストするには、Google のセールスチームまでお問い合わせください。
一部のスコアは、reCAPTCHA Enterprise がインタラクションをどのように解釈したのかについての詳細情報を示す理由コードが付加されて返される場合があります。
次の表に、理由コードとその説明を示します。
理由コード | 説明 |
---|---|
AUTOMATION | 自動化されたエージェントの行動とインタラクションが一致しています。 |
UNEXPECTED_ENVIRONMENT | イベントの発生元が不正な環境です。 |
TOO_MUCH_TRAFFIC | イベント ソースからのトラフィック量が通常よりも多くなっています。 |
UNEXPECTED_USAGE_PATTERNS | サイトのインタラクションが、想定したパターンと大きく異なっていました。 |
LOW_CONFIDENCE_SCORE | このサイトから受信したトラフィック量が過少であるため、品質リスク分析を生成できません。 |
次のステップ
- サイト固有のモデルに調整するには、評価 ID を Google に送り、真陽性と真陰性、または正しいエラーかどうかを確認します。詳細については、評価へのアノテーション付けをご覧ください。