CloudflareはCAPTCHAをTurnstileに置き換えたいと考えている

CloudflareはCAPTCHAをTurnstileに置き換えたいと考えている

Cloudflareは10月に開催されるConnectカンファレンスに先立ち、今週、「Turnstile」という野心的な新プロジェクトを発表しました。これは、ウェブ上でユーザーが本人であることを確認するために使用されているCAPTCHAを廃止することを目指しています。Turnstileは、Cloudflareの顧客であるかどうかに関わらず、サイト所有者に無料で提供され、一連の「ブラウザチャレンジ」の中から1つを選択し、ウェブページへの訪問者が実際にはボットではないことを確認します。

CAPTCHAは、フォーム入力時にほとんどの人が目にするチャレンジレスポンス方式のテストで、数十年前から存在し、ボットトラフィックの阻止に比較的成功してきました。しかし、安価な労働力の台頭、様々なCAPTCHAのバグ、そして自動解答ツールの登場により、システムに穴が開き始めています。いくつかのウェブサイトでは、人間とAIによるCAPTCHA解答サービスを、CAPTCHA解答1,000個あたりわずか0.50ドルという低価格で提供しており、一部の研究者は、AIベースの攻撃によって世界で最も人気の高いウェブサイトで使用されているCAPTCHAを解読できると主張しています。

Cloudflare自身もかつてCAPTCHAを採用していました。しかし、CTOのジョン・グラハム=カミング氏によると、同社はCAPTCHAに決して満足していなかったそうです。Cloudflareの公の場でのスローガンがそれを明らかにしていなかったとしてもです。TechCrunchとのインタビューで、グラハム=カミング氏はCAPTCHA技術の多くの欠点を挙げ、アクセシビリティの低さ(視覚障害があるとCAPTCHAを解読できない)、文化的バイアス(CAPTCHAはアメリカのタクシーのような物体への慣れを前提としている)、そしてCAPTCHAがモバイルデータプランに与える負担などを挙げました。

Cloudflare ターンスタイル
画像クレジット: Cloudflare

「CAPTCHAの最大の問題は、ユーザーエクスペリエンスがひどいことです。コンピューターの解読能力が向上するにつれて、ユーザーエクスペリエンスは悪化するばかりです」とグラハム=カミング氏は電子メールでのインタビューで述べた。

CloudflareはかつてhCaptchaというサービスに移行しましたが、賛否両論の評価を受けました。よくあるチャレンジの一つは、ユーザーに名前を入力し、ナスとニンジンのどちらが好きかを答え、電車の画像27枚全てをクリックするよう求めるものでした。グラハム=カミング氏によると、この反発と、一部のCAPTCHAサービスが課す手数料が、Cloudflareが独自の代替手段を開発するきっかけの一つとなったとのことです。

「私たちは数年にわたって解決策の開発に取り組んでおり、数か月前にはCAPTCHAの使用量を91%削減できたことをブログで発表しました。この方法が効果的であることが証明されたので、皆様にもCAPTCHAを廃止する選択肢を提供したいと考えました」と彼は付け加えた。

Cloudflareによると、TurnstileはログインCookieなどの要素ではなく、「セッション中に示されたテレメトリとクライアントの行動」に基づいてブラウザチャレンジを自動的に選択します。非対話型のJavaScriptチャレンジを実行して訪問者とブラウザ環境に関するシグナルを収集し、AIモデルを使用して機能と以前にチャレンジに合格した訪問者を検出した後、Turnstileは特定のリクエストに合わせてチャレンジの難易度を微調整します。これにより、ユーザーがパズルを解く必要がなくなります。

テッククランチイベント

サンフランシスコ | 2025年10月27日~29日

Turnstileを導入するには、ウェブ管理者はCloudflareアカウントを作成し、必要な埋め込みコードを取得して、ウェブサイトのコードに貼り付けます。CloudflareのTurnstile APIへのサーバー側呼び出しを追加すると、サービスが利用可能になります。どのサイトからでもAPIを呼び出すことができます。

「現在、既存のCAPTCHAサービスをご利用の場合は、コード文字列を検索して置換するだけです」とグラハム=カミング氏は述べた。「他のネットワークプロバイダーとも互換性があります。Turnstileを使用するために、当社のコンテンツ配信ネットワークなど、他のCloudflareサービスを使用する必要はありません。」

Cloudflare ターンスタイル
Cloudflareのターンスタイルシステムの仕組みを示す図。画像クレジット: Cloudflare

Cloudflareは、TurnstileはCAPTCHAと同等の安全性を備え、プライベートアクセストークンなどの機能を活用して収集されるデータ量を最小限に抑えていると主張しています。iOS 16とmacOS Venturaで新たに実装されたプライベートアクセストークンは、デバイスが匿名化された認証情報(トークン)を互換性のあるWebサイトに送信することで機能しますが、デバイス自身の機密情報は公開されません。

Cloudflare とライバルサービスの Fastly は、Apple ハードウェアでのプライベート アクセス トークンのサポートを最初に発表した企業の 1 つです。

問題は、サイトが既存のCAPTCHAではなくTurnstileを導入するよう説得されるかどうかだ。ある調査によると、トラフィック上位100万ウェブサイトのうち97.7%が、現在市場で最も人気のあるCAPTCHAサービスであるGoogleのreCAPTCHAを使用している。Cloudflareは、WordPressなどの主要プラットフォーム向けにTurnstileの導入を容易にするプラグインを開発中だと述べているが、管理者にその導入に見合う価値があると納得してもらうにはおそらく時間がかかるだろう。たとえ納得してもらえるとしても。

グラハム・カミング氏は、Cloudflare には導入を促進する明確なビジネス上のインセンティブがないと指摘し、ほとんど無関心な様子だった。

「代替手段を構築し、それがうまく機能することを証明し、できるだけ早く他のサイトにも公開しました」と彼は語った。「それが自分たちにとって効果的であることが証明されたので、CAPTCHAを廃止する選択肢をすべての人に提供したいと考えました。インターネットをより良くすることに貢献することが、私たちの使命です。あらゆるウェブサイトにCAPTCHAを提供することが、その実現方法だと考えています。」

次のステップに関して、グラハム=カミング氏は、プライベートアクセストークンこそが、Cloudflareが将来目指す方向性を示す最良の指標だと述べています。同社は過去にUSBベースのセキュリティシステムをテストしましたが、ハードウェアを必要とすることで大きな摩擦が生じると、同氏は認めています。

「顧客とネットワークはどちらも、プライバシーとデータのセグメンテーションをますます重視しています。私たちが自らデータを収集することなく、検証の一部を他者に抽象化できる能力は、今後も維持されるでしょう」とグラハム=カミング氏は付け加えました。「例えば、生体認証について言及されていますが、私たちが自ら生体認証を行うよりも、ハードウェアメーカーと提携してプライベートアクセストークンを使用し、生体認証検証を行い、その検証を証明する暗号化トークンを私たちに渡すようになる可能性が高いと思います。」

カイル・ウィガーズは2025年6月までTechCrunchのAIエディターを務めていました。VentureBeatやDigital Trendsに加え、Android Police、Android Authority、Droid-Life、XDA-Developersといった様々なガジェットブログにも記事を寄稿しています。音楽療法士のパートナーとマンハッタンに在住。

バイオを見る