何？毎日入力する認証コードは慈善活動に使えますか？

検証コードは、Web サイト、アプリケーション、その他のシステムで広く使用されているセキュリティ メカニズムです。ユーザーに特定の文字や数字の組み合わせを正しく入力させることで、ユーザーの身元を確認したり、悪意のある登録やブルートフォースによるパスワードクラッキングなどの悪意のある行為を防止したりします。検証コードは、ハッカー、ロボット、スクリプトなどの自動化プログラムによるシステムへの攻撃や悪用を効果的に防止し、ユーザーデータとプライバシーのセキュリティを確保します。さらに、検証コードは、一意性の検証、特定の権限の検証、対話型プロセスの検証によく使用されます。

オンラインサービスを悪用する自動プログラムから守る監視装置

CAPTCHA という用語は、「Completely Automated Public Turing test to tell Computers and Humans Apart」の略称で、「コンピュータと人間を区別するための完全に自動化されたチューリングテスト」を意味します。これは、2000 年にカーネギーメロン大学の Luis von Ahn、Manuel Blum、Nicholas Hopper、John Langford によって初めて提案されました。これは、コンピュータ プログラム (ロボットなど) と実際の人間のユーザーを区別するためにインターネットで広く使用されているセキュリティ テクノロジです。

典型的な CAPTCHA は、図 1 に示すように、複数の歪んだ文字を含む画像で、通常は Web フォームの下部に表示されます。ユーザーは、自分が人間であることを「証明」するために、これらのチルダ文字を入力するよう求められます。当時のコンピュータ プログラムは、歪んだテキストを人間と同じようには読み取れなかったため、CAPTCHA はオンライン サービスを悪用する可能性のある自動プログラムに対する監視役として機能していました。 CAPTCHA はセキュリティ対策として効果的であるため、無料メールプロバイダー、チケット販売サイト、ソーシャル ネットワーク、ウィキ、ブログなど、さまざまな種類の Web サイトを保護するために使用されています。たとえば、CAPTCHA を使用すると、転売業者がコンピュータ プログラムを使用してコンサート チケットを故意に大量に購入し、高値で転売するのを防ぐことができます。 Gmail や Yahoo Mail などの無料メール プロバイダーは、悪意のあるアカウントが登録されてスパムが送信されるのを防ぐために CAPTCHA を使用します。

図1 CAPTCHAの例（画像出典[1]）

図 2 のような確認コードを入力したことがある方は、おめでとうございます、ありがとうございます。知らないうちに人類のために有意義なことをしたことになります。

図2 reCAPTCHAインターフェース（画像出典[1]）

この物語は素晴らしいアイデアから始まります。Luis von Ahn 氏のチームの推定によると、世界中で 1 億人を超える人々が毎日 (2008 年) 確認コードを入力します。歪んだ文字を認識して入力するのにかかる時間は毎回数秒だけですが、全体としては 1 日あたり数十万時間に相当します。 CAPTCHA はオンライン サービスの大規模な不正使用を防止するのに非常に効果的ですが、各人が CAPTCHA を解くために費やす労力は無駄になります。このように膨大な時間が浪費されるという問題を受けて、ルイス・フォン・アンのチームは、この断片化された時間を活用する方法がないか考え始めました。このような素晴らしいアイデアに直面して、彼らは実際に答えを見つけました。それは、古い紙の本をデジタル化することでした。

当時、古い紙の本の大規模なデジタル化プロジェクト（Google ブックス プロジェクトや非営利団体のインターネット アーカイブなど）が、ルイス フォン アンのチームの注目を集めました。古い紙の本のデジタル化は、人類の知識の保存に役立つだけでなく、情報へのアクセス、検索、分析を容易にする点で大きな意義があります。

当時、古い紙の本をデジタル化する方法は、本を直接スキャンして画像を生成し、それを光学文字認識 (OCR) ソフトウェアを使用してテキスト ファイルに変換することでした。インクが薄く紙が黄ばんだ古い本の場合、OCRは単語の80％しか認識できません[1]。対照的に、人間はそのような印刷物の転写においてはより正確であり、転写と校正に基づいて単語レベルで99％以上の精度を達成しています[1]。残念ながら、手作業による文字起こしはコストがかかります。

古い書籍を手作業で書き写すのはコストがかかり、OCR による自動認識は理想的ではないため、Luis von Ahn 氏のチームは、スキャンした書籍から生成された画像をユーザーが認識できるようにしたらどうかと考えました。もう 1 つの疑問は、確認コードを入力している人が悪意のあるプログラムではなく実際の人であることをどうやって見分けるのかということです。これらのアイデアと目標を念頭に置いて、Luis von Ahn のチームは、ランダムに生成された元の画像を標準 CAPTCHA に基づくスキャン画像に置き換え、2 語認証を導入し、新しい認証コード システムである reCAPTCHA を開発しました。

reCAPTCHA 2単語認証方式

reCAPTCHA 検証コード システムは、古い本や古典のスキャン画像から取得された 2 つの単語で構成されています。ユーザーは 2 つの単語を識別して入力するよう求められ、確認後に後続の操作を続行できます。

図3 reCAPTCHAインターフェース（画像出典[1]）

上記のように、reCAPTCHA はユーザーに 2 つの単語を提示します。1 つはコンピューターが答えを認識できない「不明」な単語 (「morning」) で、もう 1 つは答えがわかっている「制御」単語 (「overlooks」) です。

2 つの異なる OCR プログラムからの分析結果が一致しない単語、または辞書に見つからない単語は、「疑わしい」単語としてマークされます。 「疑わしい」単語は、最初は「不明な」単語としてユーザーに送信され、各ユーザーの回答は 1 票としてカウントされ、OCR 認識結果は 0.5 票としてカウントされます。 3 つの同一の回答が表示され、両方の OCR 結果と異なる場合、「不明」な単語が「コントロール」単語となり、ユーザーにランダムに表示されます。ユーザーからの回答が大きく異なる場合は、「不明」な単語としてさらに多くのユーザーに送信し続けます。

図4: reCAPTCHAの仕組み

それぞれの「未知の」単語は、ランダムな順序で提示された別の「コントロール」単語と一緒に画像内に配置され、自動化プログラムが解読できないように2つの単語はさらに歪められました。自動プログラムがランダムに正解を推測する可能性を減らすために、制御語の頻度が正規化され、たとえば、より一般的な単語「today」とあまり一般的でない単語「abridged」が同じ確率で提示されるようになりました。

ユーザーが「不明」な単語と「制御」単語を入力し、「制御」単語が正しく綴れる場合、そのユーザーは実在の人物であると判断されます。一方、「未知の」単語については、2.5 票以上を獲得すれば正しく認識された単語とみなされます。

システムを大規模に展開し、認識結果を収集・分析した結果、reCAPTCHAシステムは単語レベルで99.1%の精度を達成しました[1]が、標準的なOCRの精度はわずか83.5%でした[1]。 99.1% の精度率は、転写技術における「99% 以上」の許容精度保証の業界標準を満たしています。

システムが1年間稼働した後、人間は12億以上のCAPTCHAを解読した。これは4億4000万以上の疑わしい単語を正しく解読したことに相当する。各書籍に 100,000 語 (1 ページあたり 250 語で 400 ページ) が含まれていると仮定すると、17,600 冊以上の書籍を手動で転記することになります (各書籍の約 25% の単語がアルゴリズムによって疑わしいとフラグ付けされます)。システムの人気は高まり続け、2008 年には、転写速度が 1 日あたり 400 万語を超え、これは 1 日あたり約 160 冊の書籍に相当します。従来の手作業による文字起こしでこの速度を達成するには、1,500人以上のチームが週40時間働いて単語を解読する必要があります（1分あたり平均60語と仮定）[1]。

「制御」単語は、どちらの OCR プログラムでも認識できない単語です。したがって、これらの単語を非常に高い確率で認識できるプログラムは、OCR プログラムの改善であり、OCR テクノロジの進歩でもあります。

reCAPTCHA は 2009 年 9 月に Google に買収されました。Google が reCAPTCHA を買収して以来、検証コード システムはさらに開発され、改善されてきました。 Google は、Gmail、Google 検索、Google フォームなどの製品やサービスにこれを統合しています。 reCAPTCHA は、ユーザーが人間であるかどうかを確認するだけでなく、画像認識や自動化技術を向上させるためのデータトレーニングや機械学習にも使用されます。

reCAPTCHA の開発において、Google はロボットや悪意のある動作を識別する能力を向上させる新しいアルゴリズムとテクノロジーを導入しました。例えば、従来の CAPTCHA（判読できないテキストを入力する）から、CAPTCHA なしの reCAPTCHA（手動入力は不要、ユーザーの動作を分析して検証を行う、その中核は CAPTCHA の入力を必要としない検証システム。ユーザーは「私はロボットではありません」のチェックボックスをクリックするだけでよい）へと進化し、さらに Invisible reCAPTCHA（ユーザーが低リスクと判断された場合、検証プロセスはバックグラウンドで実行され、CAPTCHA インターフェースは表示されない）へと進化しました。これらの改善は、より優れたユーザー エクスペリエンスとより強力なボット対策を提供することを目的としています。

今後の展望

将来の CAPTCHA テクノロジーは、よりスマートで、非侵入的、多要素、安全で信頼性が高くなり、より優れたユーザー エクスペリエンスを提供し、ロボットや悪意のある動作から Web サイトを保護します。同時に、急速に進化するネットワークの脅威やユーザーのニーズに適応するために、検証コード技術も継続的に革新し、最適化する必要があります。

参考文献:

[1] ルイス・フォン・アン、ベン・マウラー、コリン・マクミレン、デヴィッド・エイブラハム、マヌエル・ブルム。 reCAPTCHA: Web セキュリティ対策による人間ベースの文字認識。サイエンス、2008年9月12日。1465-1468ページ。

著者: チェン・シンヤン

部署：中国移動スマートホームオペレーションセンター