ハクソク

世界を動かす技術を、日本語で。

Google Cloudの詐欺防止、reCAPTCHAの次なる進化

8時間前原文(cloud.google.com)

概要

  • Agentic Web は自律型AIエージェントによる新しいオンライン体験を実現
  • Google Cloud Fraud Defense が新たなリスク管理プラットフォームとして登場
  • 人間・ボット・AIエージェント の正当性検証機能を提供
  • reCAPTCHA の進化形として既存ユーザーも自動移行
  • ビジネス成長と安全性 を両立する包括的な防御策

エージェンティックWebと新たなリスク

  • Agentic Web :自律型AIエージェントがオープンなWebと業界標準プロトコルを活用し、複雑な取引を自動実行する時代の到来
  • 自律型顧客体験 :AIエージェントによるオンライン体験の質的向上
  • 新たな脅威 :自動化の高度化により、悪用や詐欺のベクトルが多様化
  • リスク管理の転換 :従来の対策から根本的な見直しが必要

Google Cloud Fraud Defenseの特徴

  • Fraud Defense :Google Cloud Nextで発表された信頼プラットフォーム
  • reCAPTCHAの進化 :既存reCAPTCHAユーザーは自動的にFraud Defenseへ移行、追加手続き不要
  • 包括的な正当性検証 :人間・ボット・AIエージェントの識別と検証を一元化
  • Google独自のグローバルシグナル :Google自身のエコシステムを守る技術を一般企業にも提供

主な機能

  • エージェンティックアクティビティの可視化 :専用ダッシュボードでAIエージェントの活動を計測・分析
    • Web Bot AuthSPIFEE など業界標準との連携
    • エージェントと人間のID紐付けによるリスク理解
  • ポリシーエンジン :リスクスコアや自動化タイプ、エージェントIDなど条件による詳細な許可・ブロック制御
  • AI耐性チャレンジ :不正の疑いがある場合、人間によるQRコード認証を要求
    • 自動化による詐欺行為を経済的に成立しにくくする設計

3つのコア価値

  • 進化する脅威の防止 :Googleの大規模詐欺インテリジェンスグラフによる先制的な脅威検知
    • Fortune 100の50%、1,400万以上のドメインを保護する実績
  • 顧客ジャーニー全体の保護 :登録から決済まで、全工程を横断的にリスク監視
    • 複雑な多段階詐欺も検出可能
    • アカウント乗っ取り(ATO)を平均51%削減
  • ビジネス成長の加速 :大半のユーザーには不可視な認証体験
    • 正規ユーザーやAIショッピングアシスタントの利便性向上
    • 2025年Shopify Retail Reportによると、AIアシスタント導入で平均注文額が25%増加見込み

今後の展望と案内

  • Next ‘26での発表・デモ :新機能紹介や実機デモンストレーションを予定
  • Fraud Defense公式サイトコンソール へのアクセス案内
  • 最新情報 :Next ‘26のセキュリティ発表を随時フォロー可能

まとめ

  • Agentic Web 時代における安全でシンプルな顧客体験の実現
  • Google Cloud Fraud Defense による包括的な詐欺・悪用対策
  • ビジネス成長とセキュリティ の両立をサポート

Hackerたちの意見

モバイルデバイスが「人間らしさ」を証明するために必須になったってことは、Googleがデスクトップやオープンプラットフォームをもう信じてないってことだね。

これってどこに書いてあるの?TFAには見当たらないんだけど。

誰かこれを信じてる人いる? MacOSだけが信頼されてるデスクトッププラットフォームって感じだね。

今、CAPTCHAを逆解析するコミュニティにいるんだけど、Claudeのおかげで逆解析が簡単すぎるんだ。去年、複数の人がreCAPTCHAの難読化(botguard)を突破してるのを見たけど、前はそれは大きな技術的課題だと考えられてた。スマホみたいなデバイスにはこの問題はない。Googleがクライアントの認証をエンドツーエンドで持ってるから、偽の値を受け取るリスクなしに指紋を取れるんだ。

モバイルデバイスの要件はここに書いてあるよ: https://support.google.com/recaptcha/answer/16609652 だから、今後ウェブを閲覧するには、Google Playサービスがインストールされた最新のAndroidデバイスか、最新のiPhone/iPadが必要になるみたい。デバイスの整合性確認についてはまだ言及されてないけど、これは明らかに変わっていく兆しだね。

... それか、ウェブサイトにトラフィックを得たいならreCAPTCHAの使用をやめる必要があるよ。みんな従うだろうけど、ちょっと夢を見させてくれ。

これで私のGrapheneOSの旅がちょっと面白くなりそう。ウェブブラウジングのために公式のGoogle認証を強制するなんて、すごいことだね。iPhoneのreCAPTCHAアプリはGoogleアカウントでログインさせるのかな?ウェブでの匿名性を失うのにID確認が必要なかったのは不思議だ。

デバイスの整合性確認についてはまだ言及されてない もしGoogle Playサービスが要件に含まれているなら、Play Integrityの認証ができる「認証済みAndroid」デバイスが必要ってことだよね。これがGoogle Playサービスを取得する唯一の公式な方法だから。こういう消費者向けのサポート記事では、どのAPIが使われているかみたいな細かいことにはあまり触れないんだ。もしMEETS_DEVICE_INTEGRITYが必要なら、ここには明示的には書かれてないだろうね。例えば、Google Payの消費者向けドキュメントには「認証済み」のAndroidデバイスと画面ロックの設定が必要って書いてあるだけだよ: https://support.google.com/wallet/answer/12200245 (そう、FAQの最後まで深く掘り下げると、もし電話をルート化したらタップで支払いができないって書いてあるけど、その要件は認証要件から暗に示されてるんだよね。)Googleの目から見ても、法律上もGoogleが商標を出してるから、AndroidはGoogle Androidってこと。もしデバイスの認証を使わないなら、この機能は意味がないよね。そうじゃないと簡単に偽造できちゃうから。最初は使わないと思うけど、数年後にはデバイス認証のA/Bテストを始めるんじゃないかな。[1] 「デバイスが認証されていない場合の対処法」を展開 -> 「問題を解決するためにデバイスをリセット」 https://support.google.com/android/answer/7165974

両方のデバイスでBluetoothを有効にする必要があると思うよ。少なくとも、「コンピュータに表示されたこのQRコードをスキャンして、電話のパスキーで認証する」機能には必要だし、これに似てると思う。Bluetoothは、2つのデバイスが実際に物理的に近くにあることを確認するために使われるんだ。

でも、未来は見えてるよ。政治家がまだ腐敗してて、法執行が機能しない限りね。つまり、未来は見えてるってことだ。

LineageOS for microGを使ってるから、電話認証はできないんだよね。でも、詐欺師なら$30のAndroidスマホをたくさん買えるし。スマホを使うのが苦手な人も多いから、ダムフォンを使ってるけど、そういう人たちはロックされちゃう。スマホが役に立つとは思わないから、携帯電話を持ってない人も結構いるよね。

Cloudflareの「あなたがボットじゃないことを確認しています」ってチェックボックスを見るのがもううんざり。時々、完全にロックアウトされてページが見れなくなることもあるし。reCAPTCHAはあまり見かけなくなったけど、交差点やバスのクリックがめっちゃ面倒。Googleが私のメールからロックアウトするだけじゃなくて、以前は公開されてたインターネットの大部分もロックする未来が待ってるなんて、全然楽しみじゃない。たまにGoogleが検索できなくすることもあるけど、それは大した不便じゃない。他の検索エンジンもあるし。

代替案はある?HNの人たちから、制御不能なクローリングやフェッチに悩まされている話をたくさん聞くけど、これはサイトオーナーが実装するかどうかを選ぶことだよ。彼らが余分なホスティング料金を払って、望ましくないトラフィックを処理し、従来のCAPTCHAが効果的でなくなったスパムに対処してるんだから。Googleは他の誰かにこれを強制してるわけじゃない。

どんどんスマホを使わなくなってきてるんだ。理想を言えば、ガラケーに切り替えたいくらい。でも、こういう戦術が続くと、認証されたスマホでQRコードをスキャンすることが必要になったら、ほぼ不可能になっちゃうよね。

つまり、もっと多くの人が今の「すべてがスマホ」って状況に代替手段があることに気づくのが急務だね。スマホを持つことは必須じゃないし、そうあるべきじゃない(ちなみに、政治家も目を覚ますべきだよ)。

QRコードをスキャンしないと買い物できない会社には、絶対にお金を使わないよ。

多くの飲食店がQRコードでの注文を強制してるよ。コロナの時期に始まったけど、特にアメリカ以外では今も続いてる感じ。

中国では長続きしないよ(笑)QRコードで支払うのが当たり前だから。

もう来てるよ。ポッシュマークの馬鹿どもが35ドルのシャツを買うのに政府の身分証明書を要求してきた。確立されたアカウントで、クレジットカードと一致する住所とか。唯一の答えはアカウントを削除することだね。

そんな「獣の印」みたいなこと言ってる奴ら、どこ行ったんだ?

QRコード機能は、みんなが慣れたらペガサスの展開方法に悪用される可能性があると思う。

全体的にため息が出るし、私たちの“先見の明のあるリーダーたち”に感謝しないとね。少なくとも、AIの楽園が待ってるってことでしょ?ねぇ?

QRコードをスキャンして、うちの「キャプチャアプリ」がインストールされてないから自動的にPlayストアにリダイレクトされる。で、マルウェアをダウンロードする羽目になるって、Google Playの審査がひどいからね。これを考えるのは俺だけじゃないよね? そうだよね?

真面目な質問だけど、スマホがなかったらどうするの?

自分でなんとかしろって感じだよね。社会全体がそんな雰囲気だし。アプリ専用のものが多くなってるから、新しいのを買わないといけないよ。特に特定の国に行くためにはね。

それって、君は庶民で大したことないってことだよ。心配しなくても、通信会社やキャリアと協力して、予算に合ったデバイスが補助されるようにするから、あらゆる機会に提供されるよ。

GoogleがreCAPTCHAにスマホを必要とするって気づいたとき、ゾッとしたよ。前にダムフォンを1年以上使ってたけど、壊れるまで使ってた(バッテリーが焼けちゃったけど、交換可能なんだけど、そのサイズのバッテリーが見つからない)。スマホは一切使ってない(ティーンだからできるけど)。最近、Googleアカウントを作ろうとしたら、なんと、スマホがないと作れなかった。Googleアカウントを作る新機能もQRコードが必要で、reCAPTCHAと似たような感じ。なんとか電話番号のOTPを手に入れようとしたけど、苦労してやっとできたのに、OTPが全然届かなかった。自分の電話番号がちゃんと機能してるのは確かで、Androidデバイスを使ってアカウントを作ったときには別のOTPが届いたのに、それでもすごく手間がかかった。Googleで電話番号を確認したのに、YouTubeに動画を15分以上アップロードするためにまた電話番号を確認しなきゃいけなかったし、番号を追加しようとしたらOTPが送られなかった。もう一度やってみたら、試しすぎって言われた。彼らの制限が「試しすぎ」ってのは1回なんだよね。これをオンラインの友達にスクリーンショット付きで共有したんだ。Googleなしではスマホが必要だってブログ記事を書きたいと思ったくらい。今、Googleが私たちに同じことを強要しようとしてるって言うの?オープンなインターネットや、彼らが管理してないコンテンツやウェブサイトを見るために。Googleが自社のウェブサイトでこんなことをするのは、まあ、ひどいけど、私をユーザーとして大事に思ってないから仕方ないかなって思ったけど、これは完全に次のレベルに行っちゃった。これがどれだけ悪いことか、強調したい。Googleアカウントの問題はまだ解決できると思ってたけど、これで全然違ってきた。年齢確認、Androidの制限、最近のユタ州やイギリスの法律がウェブサイトに脅威を与えてる。インターネットがディストピアになっていく。選ばれた少数のウェブサイトだけが使われるホワイトリストのインターネットに向かってる。大多数の人にとってはもうそうなってるから、抗議の声は少ないけど、私たちはインターネットを殺させないためにできることをしなきゃ。長くなってごめんけど、ダムフォンを使ってた人間として、これは本当に悪い動きだって言いたい。

そのビジネス決定の根拠となる分析データには、あまり現れてないよね。

QRコードを使ったチャレンジを詐欺防止の手段として推進するなんて信じられない。人間が読めないデータ入力は危険だよ。もしQRコードがゼロデイのURLで侵害されたら、終わりだ。注:最近QRコードはどこにでもあるけど、URLにアクセスするためにQRコードを盲目的にスキャンするのは、インターネットからダウンロードしたバイナリを実行するようなもんだ。注2:そう、curl $URL | bashのインストール方法は本質的にそれなんだけど、なぜか人気になっちゃったよね。

QRはURLだよ。特定のURLを訪れることでデバイスがハッキングされるなら、そのデバイスやブラウザを作った人に文句を言って。これが好きなわけじゃないけど、QRを使うことが悪いわけじゃない。

悪意のある連中(悪質な拡張機能や、侵害されたCDNなど)がQRコードを上から塗りつぶしたり、自分たちのを注入したりするのをどう防ぐの?これは本当にひどいよ。

2020年代は、企業が信頼できる行動をやめて、ランダムなQRコードをスキャンしたり、ランダムなアプリをダウンロードしたり、自分の顔や書類の写真をアップロードすることが普通になった時代として記憶されるだろうね。詐欺師たちはこれを大好きだろうな。

reCAPTCHAはすでに難しすぎて、視覚的なチャレンジを解けないことが多いし、GoogleはVPNで音声チャレンジをブロックしてる(視覚障害者にはひどいよね)。しかも、音声チャレンジも超難しくなってる。Google Geminiはそれを解けるけど、低性能のAIシステムでもすぐに解けるようになると思う。LineageOSを使ってるから電話認証は解けないけど、詐欺師は$30のAndroidスマホをたくさん買うことができる。スマホが使えない人も多いから、ガラケーを使ってるけど、そういう人たちは締め出されることになる。スマホが役に立たないと思ってるから、携帯電話を持ってない人も多いよ。

うわぁ。これからはウェブを閲覧するためにモバイルデバイスが必要になるってこと?Googleはモバイルデバイスの識別子を使って、あなたを匿名から外すんだろうね。おそらく、彼らはこれを慎重に設計して、代替の検索エンジンや競合にとって少し難しくするつもりだと思う。そして、競争を減らすために、収集したユーザーデータを競合の広告プラットフォームに提供しないだろうね。QRコードをスキャンして注文する必要があるっていう例も馬鹿げてる。ビザの申請書を提出することも求めるべきかもね。

あのサイトはもう使わないことにするよ。面白いことに、HNでは一度もキャプチャを見たことないんだよね。

まあ、インターネットはもう死んでるし、彼らは王国の鍵を持っていてもいいよ。正直、もうどうでもいい。おとなしい者が地球を受け継ぐんだ。

うーん、そのQRコードのワークフローはあまりアクセスしやすくないね。なんとか事前にADAでこの問題を解決できないかな?