Googleの最新「reCAPTCHA v3」も突破する方法が発見される

「私はロボットではありません」でおなじみのCAPTCHAサービス最新版「reCAPTCHA v3」を高い精度で回避する方法が発見された。この問題を発見した研究者は将来的な代替技術の可能性を示している。

[後藤大地，有限会社オングス]

　2021年1月2日に（米国時間）、研究者Nikolai Tschacher氏がGoogleの最新CAPTCHAサービス「reCAPTCHA v3」を回避する方法のPoC（概念実証: Proof of Concept）を公開した。米国のセキュリティ系メディア『Threatpost』が報じた。公開された実証コードは97％の精度で突破できたとされている。

　実際にGoogleのspeech-to-text APIを使用した回避手法はreCAPTCHA v2に対して適用されておりreCAPTCHA v3そのものがこの手法で回避されたわけではない。しかし、reCAPTCHA v2はreCAPTCHA v3のフォールバックメカニズムとして使われていることから、ThreatpostはreCAPTCHA v3もフォールバック経由でv2の方を回避する手法によって回避できるとしている。

　こうしたCAPTCHAの突破方法は幾つも発見されていることから、今回の回避方法を発見した研究者は、今後「私はロボットではありません」を証明する方法は別の方法に置き換わるだろうと指摘する。

お知らせ

PoCはreCAPTCHA v2に対して実施したもので直接v3を対象としたものではないため、この点を明記しました。（05 Feb 2021 00:56:48 +0900更新）

CAPTCHA技術は今度どう変わるか