「CAPTCHA」に代わる人間証明API「Turnstile」、意外に簡単な仕組みと実装方法は？：複雑なテスト不要、利便性やプライバシーの向上が強み

Cloudflareは、「CAPTCHA」に代わる無料の認証API「Cloudflare Turnstile」のオープンβ版を発表した。

[＠IT]

　CDN（Content Delivery Network）やインターネットセキュリティサービスなどを手掛けるCloudflareは2022年9月28日（米国時間）、「CAPTCHA」に代わる無料の認証API「Cloudflare Turnstile」のオープンβ版を発表した。

　CAPTCHA（Completely Automated Public Turing test to tell Computers and Humans Apart）は主にWebサービス上で、自動化されたプログラム（bot）によるサービスの不正利用を防ぐための仕組みを指す。数種類の方式があるが、読みにくい文字列（ゆがんでいたり、ノイズが混じっていたりする）が含まれた画像を表示し、ユーザーがその文字列を正しく入力できたかどうかで、人間か否かを判定するものが有名だ。

　だが、こうしたCAPTCHAはユーザーにとって煩雑で面倒であり、データプライバシーに関する懸念も指摘されている。

　Turnstileは、CAPTCHAを使用することなく、サイト訪問者が人間であることを確認する。Cloudflareの顧客でなくても、トラフィック送信にCloudflareのグローバルネットワークを使用しなくても、WebサイトのCAPTCHAを置き換えたいと考えるサイト運営者は誰でも、シンプルなAPIを呼び出すことでTurnstileを利用できると、Cloudflareは述べている。

Turnstileの利用方法、CAPTCHAからの移行方法は

　Cloudflareによると、同社の顧客はCloudflareダッシュボードからTurnstileにアクセスできる。Cloudflareの顧客以外のサイト運営者は以下の手順で、CAPTCHAからTurnstileに簡単に切り替えることができる。

• Cloudflareアカウントを作成し、Turnstileの「sitekey」と「secret key」を取得する
• Cloudflareダッシュボードからソースコードをコピーし、現在使用中のCAPTCHA用JavaScriptと入れ替える
• 従来のsiteverifyのURLをCloudflareのURLに置き換える

Cloudflare Turnstileの仕組み（提供：Cloudflare）

Turnstileを支える「Managed Challenge」システム

　Cloudflareは2022年4月に、「Managed Challenge」システムを利用して、同社におけるCAPTCHAの使用を91％削減したことを報告した。Turnstileは、Managed Challengeを支える技術をスタンドアロン製品として提供するものだ。テレメトリーとセッション中のクライアントの行動に基づいて、訪問者による操作が不要な形でブラウザの挙動をチェックする一連のテストを、自動的に選択して実行することを繰り返す。これにより、訪問者が人間か否かを判断する。テストの難易度は、特定の要求に合わせた微調整も可能だ。

　CloudflareはAppleとの提携により、macOSやiOSの次期バージョンなど、「プライベートアクセストークン」をサポートするOSを使用する訪問者が、CAPTCHAを完了したり、個人データを提供したりすることなく、自分が人間であることを証明できるようにした。

　プライベートアクセストークンはTurnstileに直接組み込まれている。Turnstileは、ユーザーの操作を伴うテストを排除してユーザーを検証するために、幾つかのセッションデータ（ヘッダ、ユーザーエージェント、ブラウザの特性など）を確認する必要があるが、プライベートアクセストークンを使用すると、デバイスの検証をAppleに任せることで、データ収集を最小限に抑えることができる。

　Turnstileは、Cookie（ログインCookieなど）を探したり、Cookieを使用してあらゆる種類の情報を収集または保存したりすることはないという。