認証の世界も「AI対AI」の戦いに？ botを見破る技術「CAPTCHA」のハナシ：今さら聞けない「認証」のハナシ（3/4 ページ）

[鳥羽信一，ITmedia]

認証も「AI対AI」の時代に

　しかし、AIに問題と正解のパターンを大量に入力し、課題の解決方法を導き出させる機械学習は、文字タイプ以外のCAPTCHAに対しても脅威となり得るかもしれません。CAPTCHA側ではどのような対策しているのでしょうか。

　Capyの松本さんは「CAPTCHAの難易度を上げることで、botによる突破の確率は目に見えて減ります」といいます。

　「パズルCAPTCHAの場合だと、パズルピースの輪郭をぼやかしたり、移動するピースの数を増やしたりします。ただし、難易度を上げるとユーザーにとっても難しくなり、操作も増えるのでユーザビリティの低下につながります。サービス離脱率も上がってしまうかもしれません。難易度アップを安易に全てのユーザーに一律に適用するのは避け、接続してくるIPや利用環境など見て、通常のアクセスの場合は普通のCAPTCHAを、怪しい場合には難易度の高いCAPTCHAを表示する対応がお勧めです」（松本さん）

　Capyでは機械学習を用いてbotを検知する研究を行っているそうです。サービスにアクセスした後の振る舞いや、CAPTCHAを入力するタイミングなどを基にbotかどうかを判断します。パズルCAPTCHAやアバターCAPTCHAの場合だと、パズルピースやアバターを移動させる軌道も判断材料になるそうです。認証の分野でも「AI対AI」の戦いが既に始まっているのです。

　松本さんは「機械学習技術の発達が進むと、いつかはパズルCAPTCHAやアバターCAPTCHAも突破されるかもしれません。その時が来ることも考えて、別の認証システムの開発も進めています。とはいえ、不正利用者側が、機械学習を使うコストよりCAPCTHAを突破して得られる利益のほうがが大きいと考えるようになるまでは、CAPTCHAは残るでしょう」と説明する。

　CAPTCHAを突破できるbotを作るには、機械学習させるためのサンプルを集めて入力するコストをかける必要があります。いろいろな種類のCAPTCHAがあれば、不正利用者側でも、その分だけ対応するコストが増えるということです。人間には見た瞬間に正解が分かりストレスなく使えますが、botには判読が難しいようなCAPTCHAが多く登場すれば、セキュリティ向上につながるのかもしれません。