このページでは、スコアを解釈して、ユーザー インタラクションによって生じるリスクのレベルを理解し、サイトに適したアクションを取る方法について説明します。reCAPTCHA Enterprise は、インタラクションに基づいてリクエストごとにスコアを返します。reCAPTCHA Enterprise からスコアを入手したら、そのスコアを解釈して、サイトで適切な対応を行う必要があります。
始める前に
評価の解釈
バックエンドが reCAPTCHA Enterprise にユーザーの reCAPTCHA レスポンス トークンを送信すると、次の例に示すように JSON レスポンスとして評価を受け取ります。
評価を解釈するには、次のパラメータを考慮します。
action: reCAPTCHA Enterprise の検証をトリガーするユーザー インタラクション。expectedAction: 評価の作成時に指定した、予想されるユーザーのアクション。score: ユーザー インタラクションが与えるリスクのレベル。reasons: reCAPTCHA Enterprise がユーザー インタラクションをどのように解釈したかに関する追加情報。
v1
{
"event":{
"expectedAction":"EXPECTED_ACTION",
"hashedAccountId":"ACCOUNT_ID",
"siteKey":"SITE_KEY",
"token":"TOKEN",
"userAgent":"(USER-PROVIDED STRING)",
"userIpAddress":"USER_PROVIDED_IP_ADDRESS"
},
"name":"ASSESSMENT_ID",
"riskAnalysis":{
"reasons":[],
"score":"SCORE
},
"tokenProperties":{
"action":"USER_INTERACTION",
"createTime":"TIMESTAMP",
"hostname":"HOSTNAME",
"invalidReason":"(ENUM)",
"valid":(BOOLEAN)
}
}
v1beta1
{
"event":{
"expectedAction":"EXPECTED_ACTION",
"hashedAccountId":"ACCOUNT_ID",
"siteKey":"SITE_KEY",
"token":"TOKEN",
"userAgent":"(USER-PROVIDED STRING)",
"userIpAddress":"USER_PROVIDED_IP_ADDRESS"
},
"name":"ASSESSMENT_ID",
"reasons":[],
"score":"SCORE",
"tokenProperties":{
"action":"USER_INTERACTION",
"createTime":"TIMESTAMP",
"hostname":"HOSTNAME",
"invalidReason":"(ENUM)",
"valid":(BOOLEAN)
}
}
アクションの検証
JSON レスポンスには、execute() を呼び出すときにユーザー インタラクションとして指定した action パラメータと、評価の作成時に指定した expectedAction パラメータが含まれます。
action が expectedAction と一致することを検証します。たとえば、login ページで login アクションが返されます。不一致が存在する場合は、攻撃者が操作を偽装しようとしていることを示しています。ユーザー インタラクションに対して、追加の検証を行う、またはインタラクションをブロックするなどのアクションを講じて、不正なアクティビティを防止できます。
スコアの解釈
reCAPTCHA Enterprise のスコアリング システムは、以前のバージョンの reCAPTCHA からの拡張であり、より詳細なレスポンスを可能にします。reCAPTCHA Enterprise には、0.0 から 1.0 までの範囲のスコアを持つ 11 のレベルがあります。スコア 1.0 は、インタラクションのリスクが低く、正当である可能性が非常に高いことを示します。一方で 0.0 は、インタラクションのリスクが高く、不正行為の可能性があることを示します。11 のレベルのうち、デフォルトで使用できるスコアレベルは、0.1、0.3、0.7、0.9 の 4 つのみです。
reCAPTCHA Enterprise は、サイト上の実際のトラフィックをモニタリングすることで学習していきます。したがって、ステージング環境と実装から 7 日以内のスコアは、長期的な本番環境のスコアとは異なる場合があります。
スコアベースのサイトキーはユーザーフローを中断しないため、最初に何も操作せずに reCAPTCHA Enterprise を実行してから、トラフィックを確認してしきい値を決定できます。
スコアに基づいて、サイトのコンテキストで適切なアクションを講じることができます。サイトをより適切に保護するには、トラフィックをブロックするのではなく、バックグラウンドでアクションを講じることをおすすめします。
次の表に、実行できる操作の一部を示します。
| 使用例 | 対応 |
|---|---|
| ホームページ | スクレーパをフィルタリングしながら、管理コンソールにトラフィックの統合ビューを表示します。 |
| login | スコアが低い場合は、MFA またはメール確認を必須にして、認証情報の盗み取り攻撃を回避します。 |
| ソーシャル | 不正行為者からの未承認の友達リクエストを制限し、危険性のあるコメントを管理者に送信します。 |
| e コマース | 実際の販売を bot に先だって実施し、危険性のあるトランザクションを特定します。 |
理由コードについて
一部のスコアは、reCAPTCHA Enterprise がインタラクションをどのように解釈したのかについての詳細情報を示す理由コードが付加されて返される場合があります。
次の表に、理由コードと説明を示します。
| 理由コード | 説明 |
|---|---|
| AUTOMATION | インタラクションが自動化エージェントの動作と一致しています。 |
| UNEXPECTED_ENVIRONMENT | イベントの発生元が不正な環境です。 |
| TOO_MUCH_TRAFFIC | イベント ソースからのトラフィック量が通常よりも多くなっています。 |
| UNEXPECTED_USAGE_PATTERNS | サイトのインタラクションが、想定したパターンと大きく異なっていました。 |
| LOW_CONFIDENCE_SCORE | このサイトから受信したトラフィック量が過少であるため、品質リスク分析を生成できません。 |
次のステップ
- サイト固有のモデルに調整するには、評価 ID を Google に送り、真陽性と真陰性、または正しいエラーかどうかを確認します。詳細については、評価へのアノテーション付けをご覧ください。