このドキュメントでは、危険な自動化された脅威(ウェブ アプリケーションに対する OWASP Automated Threats(OAT))から保護することを目的とした reCAPTCHA の推奨される実装と不正行為の防止策について説明します。この情報をエンタープライズ アーキテクトや技術関係者が確認することで、ユースケースに応じた reCAPTCHA の実装と不正行為の防止策について、十分な情報に基づいた意思決定を行えます。
このドキュメントには、脅威の種類ごとに、次の情報が記載されています。
reCAPTCHA の最適な実装。この実装は、reCAPTCHA の関連する機能が最適な不正防止となるように設計されています。
reCAPTCHA の最小限の実装。この実装は、不正防止を必要最小限に抑えるように設計されています。
推奨される不正行為の防止策。
ユースケースに最適な実装と不正行為の防止策を選択します。選択する実装と不正行為の防止策に影響する可能性がある要素は、次のとおりです。
- 組織の不正防止のニーズと能力。
- 組織の既存の環境。
reCAPTCHA の推奨される一般的な実装については、reCAPTCHA を使用するためのベスト プラクティスをご覧ください。
ユースケースでの不正行為の防止策の詳細については、Google のセールスチームまでお問い合わせください。
カーディング
カーディングは自動化された脅威の一つであり、攻撃者が大量盗難された支払いカードデータの有効性を検証するために、複数の支払い承認を試みるものです。
最小の実装
エンドユーザーがクレジット カード情報を入力する必要があるすべてのページに、チェックボックス サイトキーをインストールします。 チェックボックスのサイトキーをインストールする方法については、チェックボックス サイトキー(チェックボックス チャレンジ)をウェブサイトにインストールするをご覧ください。
すべてのトークンの評価を作成します。 評価の作成方法については、評価の作成をご覧ください。
最適な実装
エンドユーザーがクレジットカード情報を入力する必要があるすべてのページに、スコアベースのサイトキーをインストールします。アクションは、
action
パラメータに指定(card_entry
など)します。 スコアベースのサイトキーをインストールする方法については、スコアベース サイトキーのウェブサイトへのインストール(チャレンジなし)をご覧ください。支払いワークフロー用の reCAPTCHA をウェブサイトにインストールします。支払いワークフローを保護する方法については、支払いワークフローの保護をご覧ください。
すべてのトークンの評価を作成し、スコアベースのサイトキーのインストール時に指定した
action
の値と一致するようにexpectedAction
を設定します。 評価の作成方法については、評価の作成をご覧ください。すべての評価 ID を保存し、不正な購入やチャージバックにつながる評価に
fraudulent
としてアノテーションを付加します。 評価にアノテーションを付加する方法については、評価へのアノテーション付けをご覧ください。
不正行為の防止策
reCAPTCHA を実装した後は、次のいずれかの不正行為の防止策を使用して、ウェブサイトをカーディングから保護します。
支払いワークフロー用の reCAPTCHA をウェブサイトにインストールします。支払いワークフローを保護する方法については、支払いワークフローの保護をご覧ください。
カード管理の API を構成して、reCAPTCHA トークンが有効で、スコアがしきい値より大きいことを確認します。
スコアが適合しない場合や、指定されたしきい値を超えない場合は、カードの承認を実行しません。また、エンドユーザーにカードの使用も許可しません。 可能な場合は、購入するときにトランザクションの進行を許可し、攻撃者に情報が漏れることを防ぐため、後でそのトランザクションをキャンセルします。
評価を作成する際は、その評価が、次に挙げる正常なトランザクションの基準を満たすようにします。
- 評価されたすべてのトークンが有効で、スコアが指定したしきい値を超えている。
expectedAction
の値が、スコアベースのサイトキーをウェブページにインストールしたときに指定したaction
の値と一致する。アクションの確認方法については、アクションの確認をご覧ください。
トランザクションがこれらの条件を満たしていない場合は、カードの承認を実行しません。また、エンドユーザーにカードの使用も許可しません。 可能な場合は、購入するときにトランザクションの進行を許可し、攻撃者に情報が漏れることを防ぐため、後でそのトランザクションをキャンセルします。
カードの解読
カードの解読は自動化された脅威の一つであり、攻撃者が盗まれた支払いカードデータの開始日、有効期限、セキュリティ コードの欠損値を、さまざまな値を試して特定するものです。
最小の実装
エンドユーザーが、購入手続き機能と支払方法の追加機能の両方を含め、支払いの詳細を入力する必要があるすべてのページにチェックボックス サイトキーをインストールします。チェックボックスのサイトキーをインストールする方法については、チェックボックス サイトキー(チェックボックス チャレンジ)をウェブサイトにインストールするをご覧ください。
すべてのトークンの評価を作成します。 評価の作成方法については、評価の作成をご覧ください。
最適な実装
エンドユーザーが支払いの詳細を入力する必要があるすべてのページに、スコアベースのサイトキーをインストールします。アクションは、
action
パラメータに指定(checkout
やadd_pmtmethod
など)します。 スコアベースのサイトキーをインストールする方法については、スコアベース サイトキーのウェブサイトへのインストール(チャレンジなし)をご覧ください。支払いワークフロー用の reCAPTCHA をウェブサイトにインストールします。支払いワークフローを保護する方法については、支払いワークフローの保護をご覧ください。
すべてのトークンの評価を作成し、スコアベースのサイトキーのインストール時に指定した
action
の値と一致するようにexpectedAction
を設定します。 評価の作成方法については、評価の作成をご覧ください。すべての評価 ID を保存し、不正な購入やチャージバックにつながる評価に
fraudulent
としてアノテーションを付加します。 評価にアノテーションを付加する方法については、評価へのアノテーション付けをご覧ください。
不正行為の防止策
reCAPTCHA を実装した後は、次に挙げるいずれかの不正行為の防止策を使用して、カードの解読から保護します。
支払いワークフロー用の reCAPTCHA をウェブサイトにインストールします。支払いワークフローを保護する方法については、支払いワークフローの保護をご覧ください。
レスポンス モデルを実装し、評価を作成します。
スコアベースのリスクに応じて調整されたレスポンス モデルを作成して実装します。
レスポンス モデルの例を次に示します。
- 低から中程度のスコアしきい値(0.0~0.5)の場合は、コンテキスト ベースのリスク管理(試行回数を制限する、指定された値を超えた購入をブロックするなど)を使用します。
- 最高スコアしきい値(0.5 超)の場合、エンドユーザーがチャレンジなしで続行できるようにします。
評価を作成するときは、
expectedAction
の値が、ウェブページにスコアベースのサイトキーをインストールしたときに指定したaction
の値と一致することを確認します。一致しない場合は、カードの承認を実行しません。また、エンドユーザーにカードの使用も許可しません。 可能な場合は、購入するときにトランザクションの進行を許可し、攻撃者に情報が漏れることを防ぐため、後でそのトランザクションをキャンセルします。
認証情報の解読
認証情報の解読は自動化された脅威の一つであり、ユーザー名とパスワードにさまざまな値を試して攻撃者が有効なログイン認証情報を特定するものです。
最小の実装
ログイン機能や、パスワードを忘れた機能の両方を含め、エンドユーザーが認証情報を入力する必要があるすべてのページにチェックボックス サイトキーをインストールします。 チェックボックスのサイトキーをインストールする方法については、チェックボックス サイトキー(チェックボックス チャレンジ)をウェブサイトにインストールするをご覧ください。
すべてのトークンの評価を作成します。 評価の作成方法については、評価の作成をご覧ください。
最適な実装
-
エンドユーザーが認証情報を入力する必要があるすべてのページに、スコアベースのサイトキーをインストールします。アクションは、
action
パラメータに指定(login
やauthenticate
など)します。 スコアベースのサイトキーをインストールする方法については、スコアベース サイトキーのウェブサイトへのインストール(チャレンジなし)をご覧ください。 - 推奨: すべての認証の試行に対して reCAPTCHA のパスワード漏洩検出を実装します。パスワード漏洩の検出方法については、パスワードの漏洩と認証情報侵害を検出するをご覧ください。
- 省略可: 大量の低い reCAPTCHA スコアの操作をブロックするため、reCAPTCHA とウェブ アプリケーション ファイアウォール(WAF)を統合します。たとえば、WAF と Google Cloud Armor の統合用に reCAPTCHA を使用できます。
- reCAPTCHA のアカウント保護機能を実装して、複数のログインにわたるエンドユーザーの行動を傾向を把握し、ATO を示す別の徴候を受け取ります。reCAPTCHA のアカウント保護機能を使用するには、アカウント関連の不正行為の検出と防止をご覧ください。
-
すべてのトークンの評価を作成し、スコアベースのサイトキーのインストール時に指定した
action
の値と一致するようにexpectedAction
を設定します。 評価の作成方法については、評価の作成をご覧ください。 - すべての評価 ID を保存し、Account Takeover(ATO)や他の不正なアクティビティなど、不正と考えられる評価にアノテーションを付加します。 評価にアノテーションを付加する方法については、評価へのアノテーション付けをご覧ください。
不正行為の防止策
reCAPTCHA を実装した後は、次に挙げる不正行為の防止策を使用して、認証情報の解読からウェブサイトを保護します。
-
スコアベースのリスクに応じて調整されたレスポンス モデルを作成して実装します。
レスポンス モデルの例を次に示します。
- 低スコアから中間スコア(0.0~0.5)の場合は、メールや SMS による多要素認証でエンドユーザーにチャレンジします。
- 最高スコアしきい値(0.5 超)の場合、エンドユーザーがチャレンジなしで続行できるようにします。
- 正常に認証されたが reCAPTCHA のパスワード漏洩検出から
credentialsLeaked: true
レスポンスを受け取ったエンドユーザーのセッションを終了または中断し、そのエンドユーザーにパスワードを変更するメールを送信します。 -
評価を作成するときは、
expectedAction
の値が、ウェブページにスコアベースのサイトキーをインストールしたときに指定したaction
の値と一致することを確認します。一致しない場合は、認証を許可しません。
クレデンシャル スタッフィング
クレデンシャル スタッフィングは自動化された脅威の一つであり、攻撃者が大量のログインの試行を行って盗まれたユーザー名 / パスワードのペアの正当性を確認するものです。
最小の実装
ログイン機能や、パスワードを忘れた機能の両方を含め、エンドユーザーが認証情報を入力する必要があるすべてのページにチェックボックス サイトキーをインストールします。 チェックボックスのサイトキーをインストールする方法については、チェックボックス サイトキー(チェックボックス チャレンジ)をウェブサイトにインストールするをご覧ください。
すべてのトークンの評価を作成します。 評価の作成方法については、評価の作成をご覧ください。
最適な実装
-
エンドユーザーが認証情報を入力する必要があるすべてのページに、スコアベースのサイトキーをインストールします。アクションは、
action
パラメータに指定(login
やauthenticate
など)します。 スコアベースのサイトキーをインストールする方法については、スコアベース サイトキーのウェブサイトへのインストール(チャレンジなし)をご覧ください。 - 推奨: すべての認証の試行に対して reCAPTCHA のパスワード漏洩検出を実装します。パスワード漏洩の検出方法については、パスワードの漏洩と認証情報侵害を検出するをご覧ください。
- reCAPTCHA のアカウント保護機能を実装して、複数のログインにわたるエンドユーザーの行動を傾向を把握し、ATO を示す別の徴候を受け取ります。reCAPTCHA のアカウント保護機能を使用するには、アカウント関連の不正行為の検出と防止をご覧ください。
省略可: 大量の低い reCAPTCHA スコアの操作をブロックするため、reCAPTCHA とウェブ アプリケーション ファイアウォール(WAF)を統合します。たとえば、WAF と Google Cloud Armor の統合用に reCAPTCHA を使用できます。
すべてのトークンの評価を作成し、スコアベースのサイトキーのインストール時に指定した
action
の値と一致するようにexpectedAction
を設定します。 評価の作成方法については、評価の作成をご覧ください。すべての評価 ID を保存し、不正な購入やチャージバックにつながる評価に
fraudulent
としてアノテーションを付加します。 評価にアノテーションを付加する方法については、評価へのアノテーション付けをご覧ください。
不正行為の防止策
reCAPTCHA を実装した後は、次に挙げる不正行為の防止策を使用して、クレデンシャル スタッフィングからウェブサイトを保護します。
-
スコアベースのリスクに応じて調整されたレスポンス モデルを作成して実装します。
レスポンス モデルの例を次に示します。
- 最も低い reCAPTCHA スコアしきい値(0.0)では、エンドユーザーにパスワードが正しくないことを通知します。
- 中間のスコアしきい値(0.1~0.5)では、メールや SMS を使用した多要素認証でエンドユーザーにチャレンジします。
- 最高スコアしきい値(0.5 超)の場合、エンドユーザーがチャレンジなしで続行できるようにします。
- 正常に認証されたが reCAPTCHA のパスワード漏洩検出から
credentialsLeaked: true
レスポンスを受け取ったエンドユーザーのセッションを終了または中断し、そのエンドユーザーにパスワードを変更するメールを送信します。 -
評価を作成するときは、
expectedAction
の値が、ウェブページにスコアベースのサイトキーをインストールしたときに指定したaction
の値と一致することを確認します。一致しない場合は、認証を許可しません。 - 評価で「
accountDefenderAssessment
=PROFILE_MATCH
」の場合は、エンドユーザーがチャレンジなしで続行できるようにします。
キャッシング アウト
キャッシング アウトは自動化された脅威の一つであり、攻撃者が盗まれて以前に検証された支払いカードを使用して、通貨や価値の高いアイテムを取得することです。
最小の実装
- 購入手続きが可能なすべてのページにスコアベースのサイトキーをインストールします。 スコアベースのサイトキーをインストールする方法については、スコアベース サイトキーのウェブサイトへのインストール(チャレンジなし)をご覧ください。
- すべてのトークンの評価を作成します。 評価の作成方法については、評価の作成をご覧ください。
最適な実装
- エンドユーザーがギフトカード情報を入力するすべてのページにスコアベースのサイトキーをインストールします。
add_gift_card
などのアクションを指定します。 スコアベースのサイトキーをインストールする方法については、スコアベース サイトキーのウェブサイトへのインストール(チャレンジなし)をご覧ください。 すべてのトークンの評価を作成し、スコアベースのサイトキーのインストール時に指定した
action
の値と一致するようにexpectedAction
を設定します。 評価の作成方法については、評価の作成をご覧ください。すべての評価 ID を保存し、不正なトランザクションにアノテーションを付加します。
不正行為の防止策
reCAPTCHA を実装した後は、次に挙げる不正行為の防止策を使用して、ウェブサイトをキャッシング アウトから保護します。
支払いワークフロー用の reCAPTCHA をウェブサイトにインストールします。支払いワークフローを保護する方法については、支払いワークフローの保護をご覧ください。
レスポンス モデルを実装し、評価を作成します。
-
スコアベースのリスクに応じて調整されたレスポンス モデルを作成して実装します。
レスポンス モデルの例を次に示します。
- 低から中程度のスコアしきい値(0.0~0.5)の場合は、コンテキスト ベースのリスク管理(試行回数を制限する、指定された値を超えた購入をブロックするなど)を使用します。
- 最高スコアしきい値(0.5 超)の場合、エンドユーザーがチャレンジなしで続行できるようにします。
-
評価を作成するときは、
expectedAction
の値が、ウェブページにスコアベースのサイトキーをインストールしたときに指定したaction
の値と一致することを確認します。一致しない場合は、認証を許可しません。可能な場合は、購入するときにトランザクションの進行を許可し、攻撃者に情報が漏れることを防ぐため、後でそのトランザクションをキャンセルします。
-
アカウントの作成
アカウント作成は自動化された脅威の一つであり、後に続く不正使用のために複数のアカウントを作成するものです。
最小の実装
ログイン機能や、パスワードを忘れた機能の両方を含め、エンドユーザーが認証情報を入力する必要があるすべてのページにチェックボックス サイトキーをインストールします。 チェックボックスのサイトキーをインストールする方法については、チェックボックス サイトキー(チェックボックス チャレンジ)をウェブサイトにインストールするをご覧ください。
すべてのトークンの評価を作成します。 評価の作成方法については、評価の作成をご覧ください。
最適な実装
- アカウントが作成されるすべてのページにスコアベースのサイトキーをインストールします。アクションは、
action
パラメータに指定(register
など)します。 スコアベースのサイトキーをインストールする方法については、スコアベース サイトキーのウェブサイトへのインストール(チャレンジなし)をご覧ください。 - 推奨: すべての認証の試行に対して reCAPTCHA のパスワード漏洩検出を実装します。パスワード漏洩の検出方法については、パスワードの漏洩と認証情報侵害を検出するをご覧ください。
- 架空アカウントの作成を示す追加のシグナルを受信するように、reCAPTCHA のアカウント防御を実装します。reCAPTCHA のアカウント保護機能を使用するには、アカウント関連の不正行為の検出と防止をご覧ください。
省略可: 大量の低い reCAPTCHA スコアの操作をブロックするため、reCAPTCHA とウェブ アプリケーション ファイアウォール(WAF)を統合します。たとえば、WAF と Google Cloud Armor の統合用に reCAPTCHA を使用できます。
すべてのトークンの評価を作成し、スコアベースのサイトキーのインストール時に指定した
action
の値と一致するようにexpectedAction
を設定します。 評価の作成方法については、評価の作成をご覧ください。すべての評価 ID を保存し、不正なトランザクションにアノテーションを付加します。
不正行為の防止策
reCAPTCHA を実装し後は、次に挙げる不正行為の防止策を使用して、アカウント作成からウェブサイトを保護します。
-
スコアベースのリスクに応じて調整されたレスポンス モデルを作成して実装します。
レスポンス モデルの例を次に示します。
- 最も低い reCAPTCHA スコアしきい値(0.0)では、不正行為の詳しい確認が行われるまでアカウントの活動を制限します。
- 中間のスコアしきい値(0.1~0.5)では、メールや SMS を使用した多要素認証でエンドユーザーにチャレンジします。
- 最高スコアしきい値(0.5 超)の場合、エンドユーザーがチャレンジなしで続行できるようにします。
- 正常に認証されたが reCAPTCHA のパスワード漏洩検出から
credentialsLeaked: true
レスポンスを受け取ったエンドユーザーのセッションを終了または中断し、新しいパスワードの選択をユーザーに促します。 -
評価を作成するときは、
expectedAction
の値が、ウェブページにスコアベースのサイトキーをインストールしたときに指定したaction
の値と一致することを確認します。一致しない場合は、アカウントの登録や作成を許可しません。 - 評価で「
accountDefenderAssessment
=SUSPICIOUS_ACCOUNT_CREATION
」の場合は、詳しい検証が行われるまで、アカウントのアクセス権を制限します。
不正なアカウントとアドレスの変更
攻撃者は、不正な活動やアカウントの乗っ取りの一環として、メールアドレス、電話番号、送付先住所など、アカウントの詳細を変更しようとすることがあります。
最小の実装
ログイン機能や、パスワードを忘れた機能の両方を含め、エンドユーザーが認証情報を入力する必要があるすべてのページにチェックボックス サイトキーをインストールします。 チェックボックスのサイトキーをインストールする方法については、チェックボックス サイトキー(チェックボックス チャレンジ)をウェブサイトにインストールするをご覧ください。
すべてのトークンの評価を作成します。 評価の作成方法については、評価の作成をご覧ください。
最適な実装
アカウントが作成されるすべてのページにスコアベースのサイトキーをインストールします。アクションは、
action
パラメータに指定(change_telephone
やchange_physicalmail
など)します。 スコアベースのサイトキーをインストールする方法については、スコアベース サイトキーのウェブサイトへのインストール(チャレンジなし)をご覧ください。すべてのトークンの評価を作成し、スコアベースのサイトキーのインストール時に指定した
action
の値と一致するようにexpectedAction
を設定します。 評価の作成方法については、評価の作成をご覧ください。reCAPTCHA のアカウント保護機能を実装して、複数のログインにわたるエンドユーザーの行動を傾向を把握し、ATO を示す別の徴候を受け取ります。reCAPTCHA のアカウント保護機能を使用するには、アカウント関連の不正行為の検出と防止をご覧ください。
すべての評価 ID を保存し、不正なトランザクションにアノテーションを付加します。
不正行為の防止策
reCAPTCHA を実装した後は、次に挙げる不正行為の防止策を使用して、不正なアカウントと住所の変更からウェブサイトを保護します。
スコアベースのリスクに応じて調整されたレスポンス モデルを作成して実装します。
レスポンス モデルの例を次に示します。
- 低スコアから中間スコア(0.0~0.5)の場合は、メールや SMS による多要素認証でエンドユーザーにチャレンジします。
- 最高スコアしきい値(0.5 超)の場合、エンドユーザーがチャレンジなしで続行できるようにします。
評価を作成するときは、
expectedAction
の値が、ウェブページにスコアベースのサイトキーをインストールしたときに指定したaction
の値と一致することを確認します。一致しない場合は、アカウントの変更を許可しません。評価で
accountDefenderAssessment
にPROFILE_MATCH
ラベルがない場合は、メールや SMS による多要素認証でエンドユーザーにチャレンジします。
トークンの解読
トークンの解読は自動化された脅威の一つであり、攻撃者がクーポン番号、クーポンコード、割引トークンを大量に列挙するものです。
最小の実装
エンドユーザーがギフトカード情報を入力する必要があるすべてのページに、チェックボックス サイトキーをインストールします。 チェックボックスのサイトキーをインストールする方法については、チェックボックス サイトキー(チェックボックス チャレンジ)をウェブサイトにインストールするをご覧ください。
すべてのトークンの評価を作成します。 評価の作成方法については、評価の作成をご覧ください。
最適な実装
エンドユーザーがギフトカード情報を入力する必要があるすべてのページに、スコアベースのサイトキーをインストールします。
gift_card_entry
などのアクションを指定します。 スコアベースのサイトキーをインストールする方法については、スコアベース サイトキーのウェブサイトへのインストール(チャレンジなし)をご覧ください。省略可: 大量の低い reCAPTCHA スコアの操作をブロックするため、reCAPTCHA とウェブ アプリケーション ファイアウォール(WAF)を統合します。たとえば、WAF と Google Cloud Armor の統合用に reCAPTCHA を使用できます。
すべてのトークンの評価を作成し、スコアベースのサイトキーのインストール時に指定した
action
の値と一致するようにexpectedAction
を設定します。 評価の作成方法については、評価の作成をご覧ください。すべての評価 ID を保存し、不正なギフトカードやクーポンに変わる評価にアノテーションを付けます。
不正行為の防止策
reCAPTCHA を実装した後は、次に挙げるいずれかの不正行為の防止策を使用して、トークンの解読からウェブサイトを保護します。
カード管理の API を構成して、reCAPTCHA トークンが有効で、スコアがしきい値より大きいことを確認します。
スコアが適合しない場合や、指定されたしきい値を超えない場合は、ギフトカードやクレジット カードの承認を実行しません。また、エンドユーザーにクーポン、ギフトカードの使用も許可しません。 可能な場合は、購入するときにトランザクションの進行を許可し、攻撃者に情報が漏れることを防ぐため、後でそのトランザクションをキャンセルします。
評価を作成する際は、その評価が、次に挙げる正常なトランザクションの基準を満たすようにします。
- 評価されたすべてのトークンが有効で、スコアが指定したしきい値を超えている。
expectedAction
の値が、スコアベースのサイトキーをウェブページにインストールしたときに指定したaction
の値と一致する。アクションの確認方法については、アクションの確認をご覧ください。
トランザクションがこれらの条件を満たしていない場合は、ギフトカードやクレジット カードの承認を実行しません。また、エンドユーザーにクーポンやギフトカードの使用も許可しません。 可能な場合は、購入するときにトランザクションの進行を許可し、攻撃者に情報が漏れることを防ぐため、後でそのトランザクションをキャンセルします。
スキャルピング
スキャルピングは自動化された脅威の一つであり、攻撃者は不当な方法で僅少在庫の好まれる製品やサービスを入手するものです。
最小の実装
- エンドユーザーがギフトカード情報を入力する必要があるすべてのページに、スコアベースのサイトキーをインストールします。アクションは、
action
パラメータに指定(add_to_cart
など)します。スコアベースのサイトキーをインストールする方法については、スコアベース サイトキーのウェブサイトへのインストール(チャレンジなし)をご覧ください。 -
すべてのトークンの評価を作成し、スコアベースのサイトキーのインストール時に指定した
action
の値と一致するようにexpectedAction
を設定します。 評価の作成方法については、評価の作成をご覧ください。
最適な実装
エンドユーザーがギフトカード情報を入力する必要があるすべてのページに、スコアベースのサイトキーをインストールします。アクションは、
action
パラメータに指定(add_to_cart
など)します。スコアベースのサイトキーをインストールする方法については、スコアベース サイトキーのウェブサイトへのインストール(チャレンジなし)をご覧ください。省略可: 大量の低い reCAPTCHA スコアの操作をブロックするため、reCAPTCHA とウェブ アプリケーション ファイアウォール(WAF)を統合します。たとえば、WAF と Google Cloud Armor の統合用に reCAPTCHA を使用できます。
すべてのトークンの評価を作成し、スコアベースのサイトキーのインストール時に指定した
action
の値と一致するようにexpectedAction
を設定します。 評価の作成方法については、評価の作成をご覧ください。すべての評価 ID を保存し、不正なトランザクションにアノテーションを付加します。
不正行為の防止策
reCAPTCHA を実装した後は、次に挙げる不正行為の防止策を使用して、ウェブサイトをスキャルピングから保護します。
スコアベースのリスクに応じて調整されたレスポンス モデルを作成して実装します。
レスポンス モデルの例を次に示します。
- 低から中程度のスコアしきい値(0.0~0.5)の場合は、コンテキスト ベースのリスク管理(試行回数を制限する、指定された値を超えた購入をブロックするなど)を使用します。
- 最高スコアしきい値(0.5 超)の場合、エンドユーザーがチャレンジなしで続行できるようにします。
評価を作成するときは、
expectedAction
の値が、ウェブページにスコアベースのサイトキーをインストールしたときに指定したaction
の値と一致することを確認します。一致しない場合は、ギフトカードの承認を実行しません。
スキューイング
スキューイングは自動化された脅威の一つであり、攻撃者が繰り返されるリンククリック、ページ リクエスト、またはフォーム送信を使用して一部の指標を変更するものです。
最小の実装
- 指標の偏りが生じる可能性があるすべてのページに、スコアベースのサイトキーをインストールします。 スコアベースのサイトキーをインストールする方法については、スコアベース サイトキーのウェブサイトへのインストール(チャレンジなし)をご覧ください。
- すべてのトークンの評価を作成します。 評価の作成方法については、評価の作成をご覧ください。
最適な実装
指標の偏りが生じる可能性があるすべてのページに、スコアベースのサイトキーをインストールします。 スコアベースのサイトキーをインストールする方法については、スコアベース サイトキーのウェブサイトへのインストール(チャレンジなし)をご覧ください。
省略可: 大量の低い reCAPTCHA スコアの操作をブロックするため、reCAPTCHA とウェブ アプリケーション ファイアウォール(WAF)を統合します。たとえば、WAF と Google Cloud Armor の統合用に reCAPTCHA を使用できます。
すべてのトークンの評価を作成し、スコアベースのサイトキーのインストール時に指定した
action
の値と一致するようにexpectedAction
を設定します。 評価の作成方法については、評価の作成をご覧ください。すべての評価 ID を保存し、不正なトランザクションにアノテーションを付加します。
不正行為の防止策
reCAPTCHA を実装した後は、次に挙げる不正行為の防止策を使用して、ウェブサイトをスキューイングから保護します。
スコアベースのリスクに応じて調整されたレスポンス モデルを作成して実装します。
レスポンス モデルの例を次に示します。
- 低から中程度のスコアしきい値(0.0~0.5)の場合は、ユーザーが広告をクリックした回数や、ページを再読み込みした回数を追跡するなど、コンテキスト ベースのリスク管理を使用します。このデータを使用して、指標をカウントするかどうかを判断します。
- 最高スコアしきい値(0.5 超)の場合、エンドユーザーがチャレンジなしで続行できるようにします。
スクレイピング
スクレイピングは自動化された脅威の一つであり、攻撃者が自動化された方法でウェブサイトのデータやアーティファクトを収集するものです。
最小の実装
- 重要な情報が存在するすべてのページと、一般的なエンドユーザーのインタラクション ページにスコアベースのサイトキーをインストールします。 スコアベースのサイトキーをインストールする方法については、スコアベース サイトキーのウェブサイトへのインストール(チャレンジなし)をご覧ください。
- すべてのトークンの評価を作成します。 評価の作成方法については、評価の作成をご覧ください。
最適な実装
重要な情報が存在するすべてのページと、一般的なエンドユーザーのインタラクション ページにスコアベースのサイトキーをインストールします。 スコアベースのサイトキーをインストールする方法については、スコアベース サイトキーのウェブサイトへのインストール(チャレンジなし)をご覧ください。
省略可: 大量の低い reCAPTCHA スコアの操作をブロックするため、reCAPTCHA とウェブ アプリケーション ファイアウォール(WAF)を統合します。たとえば、WAF と Google Cloud Armor の統合用に reCAPTCHA を使用できます。
すべてのトークンの評価を作成します。 評価の作成方法については、評価の作成をご覧ください。
すべての評価 ID を保存し、不正なトランザクションにアノテーションを付加します。
不正行為の防止策
reCAPTCHA を実装した後は、次に挙げる不正行為の防止策を使用して、ウェブサイトをスクレイピングから保護します。
- 大量の低い reCAPTCHA スコアの操作をブロックするため、reCAPTCHA とウェブ アプリケーション ファイアウォール(WAF)を統合します。たとえば、WAF と Google Cloud Armor の統合用に reCAPTCHA を使用できます。
- スクレイピングが API に関連する場合は、追加の防止策として Apigee Management API を使用します。
CAPTCHA 無効化
CAPTCHA 無効化は自動化された脅威の一つであり、攻撃者は視覚的または音声的な CAPTCHA テストや関連するパズルの答えを分析し特定しようとするものです。
最小の実装
エンドユーザー入力、アカウント作成、お支払い情報、または不正行為の可能性をもたらすエンドユーザー インタラクションを伴うすべてのページにスコアベースのサイトキーをインストールします。
action
パラメータに説明的なアクションを指定します。スコアベースのサイトキーをインストールする方法については、スコアベース サイトキーのウェブサイトへのインストール(チャレンジなし)をご覧ください。すべてのトークンの評価を作成し、スコアベースのサイトキーのインストール時に指定した
action
の値と一致するようにexpectedAction
を設定します。 評価の作成方法については、評価の作成をご覧ください。
最適な実装
- エンドユーザー入力、アカウント作成、お支払い情報、または不正行為の可能性をもたらすエンドユーザー インタラクションを伴うすべてのページにスコアベースのサイトキーをインストールします。
action
パラメータに説明的なアクションを指定します。スコアベースのサイトキーをインストールする方法については、スコアベース サイトキーのウェブサイトへのインストール(チャレンジなし)をご覧ください。 省略可: 大量の低い reCAPTCHA スコアの操作をブロックするため、reCAPTCHA とウェブ アプリケーション ファイアウォール(WAF)を統合します。たとえば、WAF と Google Cloud Armor の統合用に reCAPTCHA を使用できます。
すべてのトークンの評価を作成し、スコアベースのサイトキーのインストール時に指定した
action
の値と一致するようにexpectedAction
を設定します。 評価の作成方法については、評価の作成をご覧ください。すべての評価 ID を保存し、不正な購入やチャージバックにつながる評価に
fraudulent
としてアノテーションを付加します。 評価にアノテーションを付加する方法については、評価へのアノテーション付けをご覧ください。
不正行為の防止策
reCAPTCHA を実装した後は、次に挙げるいずれかの不正行為の防止策を使用して、CAPTCHA 無効化からウェブサイトを保護します。
レスポンス モデルを実装し、評価を作成します。
-
スコアベースのリスクに応じて調整されたレスポンス モデルを作成して実装します。
レスポンス モデルの例を次に示します。
- 低スコアから中間スコア(0.0~0.5)の場合は、メールや SMS による多要素認証でエンドユーザーにチャレンジします。
- 最高スコアしきい値(0.5 超)の場合、エンドユーザーがチャレンジなしで続行できるようにします。
-
評価を作成するときは、
expectedAction
の値が、ウェブページにスコアベースのサイトキーをインストールしたときに指定したaction
の値と一致することを確認します。一致しない場合は、認証を許可しません。
-
エンドユーザーが JavaScript を無効にしたウェブブラウザを使用している場合は、次のようにします。
- そのようなエンドユーザーをブロックします。
- エンドユーザーに、そのウェブサイトで続行するには JavaScript が必要であることを通知します。
Google のスクリプトの読み込みをブロックするエンドユーザーのブラウザを
grecaptcha.enterprise.ready
Promise が確実に阻止するようにします。これは、reCAPTCHA が完全に読み込まれ、エラーが発生しなかったことを示します。ウェブのみの API の場合は、reCAPTCHA トークンか reCAPTCHA の評価結果をバックエンド API に渡してから、reCAPTCHA トークンが有効でスコアしきい値を満たす場合にのみ API アクションを許可することをおすすめします。これにより、ウェブサイトを経由せずにエンドユーザーが API を使用することはありません。
次のステップ
- スコアベースのサイトキーをインストールする。
- チェックボックスのサイトキーをインストールする。
- 評価を作成する。
- 評価にアノテーションを付ける。
- パスワード漏洩検出を実装する。
- アカウント防御を実装する。