ハクソク

世界を動かす技術を、日本語で。

Google Cloudの詐欺防止は、単なるWEIの再パッケージ化です

12時間前原文(privatecaptcha.com)

概要

  • 2026年5月、Googleが「Google Cloud Fraud Defense」を発表
  • QRコード認証とデバイス認証を組み合わせた新しいCAPTCHA方式
  • 2023年に却下されたWeb Environment Integrity(WEI)と同じ仕組みを商用化
  • プライバシー重視ユーザーや非公式Android端末が排除される問題
  • トラッキング・ガバナンス・セキュリティ上の懸念が再燃

Googleの2023年の試み:Web Environment Integrity(WEI)

  • 2023年6月、GoogleエンジニアYoav WeissがChromiumプロジェクトに「Web Environment Integrity(WEI)」を提案
  • ブラウザがデバイスハードウェアから 暗号署名付き証明 を取得し、ブラウザの改変やGoogle認証ハードウェア上での実行を証明
  • ウェブサイトは 証明書を検証 し、アクセス制御や追加チャレンジを実施
  • 提案理由は「ボットや自動化スクレイピング対策」
  • Mozillaは「ユーザーの利益に反する」「OS・デバイスベンダーによるインターネットの囲い込み」と批判
  • EFFは「ChromeによるWebのDRM化」と指摘、AndroidやGoogle認証ハードのみが容易に通過可能
  • 提案は3週間で撤回、GitHubスレッドもクローズ

2026年の新サービス:Google Cloud Fraud Defense

  • 2026年5月、「Google Cloud Fraud Defense」が「reCAPTCHAの進化版」として発表
  • ユーザーはQRコードをスマホでスキャンし、 人間であることを証明
  • 必要条件:「Google Play Services搭載の最新Android」または「最新iPhone/iPad」
    • Google Play Services はGoogle認証済みAndroid端末でのみ動作
    • Play Integrity APIで端末の改変有無・認証状況を判定
    • Play Services非搭載端末は要件を満たせず、これは技術的な制限ではなく 意図的な仕組み
  • WEIの時と異なり、 公開レビューや反論の機会なし に商用化

QRコード認証の実際と抜け穴

  • チャレンジの流れ:ユーザーがQRコードをスキャン→スマホがGoogleの認証APIで端末認証→サイトに人間証明を返送
  • ボット運営者はカメラで画面を撮影し自動化可能、技術的障壁は低い
  • Play Integrity認証用のAndroid端末は 約30ドルで入手可能、ボットファームのコスト増加は限定的
  • QRコード認証はフィッシング被害拡大の懸念 :ユーザーがQRコードを無条件でスキャンする習慣が悪用される

デバイス認証の新旧とWebへの影響

  • iOSのApp Attestationは アプリの正規性保証 で、ユーザーがApp Store経由で選択した「囲い込み」環境
  • Fraud Defenseは オープンWebのURLアクセスをハードウェア認証に依存させる 点が根本的に異なる
  • QR認証自体はエストニアのSmart ID等で実績ありだが、 用途・範囲・同意が明確な限定的リソース
  • Fraud Defenseは 同意や目的制限なしにWeb全体へ適用可能、ユーザーが自分のハードウェアIDを認証情報として使っている認識も薄い

プライバシー重視ユーザーの排除

  • Google Play Integrity認証には Google Play Servicesが必須
    • GrapheneOS(EFF推奨のセキュリティ強化Android)、LineageOS for microG(オープンソース志向Android)は非対応
    • カスタムROMやPlay Services非搭載端末も 認証不可
  • Firefox for Androidも Googleのサポートブラウザリストに非掲載
    • Mozillaは2023年時点でデバイス認証に明確に反対
  • 結果: プライバシー志向の主要ブラウザやOS利用者がデフォルトで排除、理由はボット対策ではなくGoogle認証外であるため

トラッキングとガバナンスの問題

  • Fraud Defense認証成功ごとにGoogleへ「この認証端末がこのサイトにアクセスした」という情報が送信
  • デバイス固有のハードウェアIDによる 永続的識別子 が生成され、セッション・ブラウザ・プライベートモードを横断
  • ハードウェアの「正当性」を決める企業が オープンWeb上のアクセス履歴を一元管理
  • これは副作用ではなく、 設計上の必然

代替案:プライバシー配慮型CAPTCHA

  • Private Captcha等の Proof-of-Work型CAPTCHA は、計算コストを利用してボットを抑制
    • 人間1人の負担は軽微
    • ボットファームやAIエージェントは 指数関数的なコスト増
    • ハードウェアID送信や認証不要、認証レイヤーでの排除も発生しない
    • 構造的にプライバシーが守られる

結論・総括

  • Google Cloud Fraud Defenseは reCAPTCHAのアップデートではない
  • QRコードは表面上の仕組みであり、 本質はデバイス認証
  • 認証成功ごとに Googleがアクセス情報を蓄積
  • 2023年に標準化団体が拒否したインフラが、商用サービスとして導入されている現状
  • 皮肉にも、 ボット対策としても抜け穴が多く、根本的な問題解決には至らず

Hackerたちの意見

まさにその通り。めちゃくちゃ怒ってるし、Googleを解体するためのどんな努力にも参加したい気持ちだよ。

うん、同じく。難しいよね。みんなでボイコットする必要があるかも。できるだけ彼らの製品を使わないようにして、オープンな代替品(OpenStreetMap、Fediverse、Linux、Nextcloud…)に貢献したり、テクノロジーに詳しくない友達や家族にも刺激を与えたりすることが大事だと思う。でも、結構大変だよね :(

でも覚えておいてほしいのは、Googleという組織に対してだけ怒るんじゃなくて、ペイジとブリン個人にも怒りを向けるべきだってこと。彼らにはこれを防ぐ力があるし、その力をGoogleのIPOの時にしっかりと守ってきた。彼らはGoogleの選択に対して完全に責任がある。でも、彼らはSNSで常に目立とうとするわけじゃないから、例えばイーロン・マスクのように個人的な scrutiny を受けることが少ない。これを終わらせる必要がある。

その話題について、Kagiに切り替えることを強くおすすめするよ!検索はまだ広告収入のための主力だから、検索が減ればユーザーも減るし、今はみんなチャットGPTとかに聞いてるから、彼らには痛手になると思う。

問題は、こういうコントロール的な動きが、彼らの会社の利益のために使われることだよ。Googleみたいな会社ができる不倫理的なことの一つだね。彼らは止まらないし、力がありすぎて何度でも逃げられる。これが止まったとしても、また別のダークパターンやプライバシー侵害、反競争的なことが出てくる。もっと大きすぎる会社を分割しやすくする新しい法律が必要だし、メガコーポレーションには他の会社よりも高い税金を課すべきだよ。そうすれば、公正な競争と選択の力が得られる。でも、現行の法律ではこれらの会社に実際の結果が伴わないし、ちょっとした罰があっても裁判に何年もかかる。新しい法律は、社会が迅速かつ低コストで行動を起こせるようにしなきゃ。

AMPでもマニフェスト3でも、Androidのゴタゴタでも、クッキーをFLOCのナンセンスで置き換えようとする試みでも…Googleはオープンなインターネットに対して悪意のある勢力に急速に変わりつつある。

GoogleがMicrosoftの手法を完全に取り入れたことに笑っちゃう。Chromeはオープンウェブを受け入れてInternet Explorerを駆逐した。でもその後すぐに拡張機能に手を出して、今ではCloud Fraud Defenseみたいなナンセンスでオープンウェブを消そうとしてる。すごくスムーズにやってるよね。実際に人々がこのゴミを求めてるなんて、驚きだよ。

急速に悪化している ずっとそうだったよ。Googleは「オープンハンドセットアライアンス」みたいなカルテルを何十年も前から作ってた。Chromeと検索を独占的にコントロールすることで、Googleはウェブサイトがどう表示されるか、またウェブサイトが見つかるかに対して絶対的な権限を持っている。

前回これが起きたとき、Googleの社員たちがWEIの影響を軽視して「何も大したことない」って言ってたんだよね。今確認したら、擁護してた人たちはみんな会社を辞めてた。今度もまた、上層部にアピールしたいGoogleのマネージャーたちが、この新しい取り組みを擁護しに来るだろうね。

結局、RMSはずっと正しかったね。驚きだわ。

周りがどんどん閉じていくのが見えないの? Googleだけじゃないよ。世界中の政府や企業が同時にそうなってる。徐々に締め付けが強くなって、最後には一気に来るんだ。私たち全員に迫ってきてるよ。 「上の脅威は、設計や収束によって相互に絡み合ってる。アイデンティティレイヤー(1-5)は、他のレイヤーの前提条件を作る。一度アイデンティティがSIMやアカウント、デバイスレベルで確立されると、監視が政治的に実行可能になるための抜け道が可能になる(強力なユーザーには免除が与えられ、普通のユーザーは監視される)。デバイスレイヤー(10-12, 16-19)は監視のエンドポイントを作る。デバイス上でコンテンツが暗号化される前にスキャンされると、通信レイヤーでの暗号保護は無意味になる。通信レイヤー(6-9)は最も防御されている。大量スキャンは何度も打破されてきた。このレイヤーは抵抗が最も成功している。報告レイヤー(13-15)はまだ発展途上。OSから政府への直接報告の仕組みはまだ大規模には構築されていない。イギリスの2025年12月の提案が先端だ。プラットフォームコントロール(20-24)は、代替手段が存在できるかどうかを決定する。ブラウザの多様性、アプリ配信の多様性、エンジンの多様性が構造的な保護となっている。これら3つはすべて狭まっている。5つのレイヤーがすべて完成した社会は、エリートの抜け道を持つ完全な監視のための技術インフラを持っている。私たちは大体40%のところまで来ている。このインフラがディストピアになるかどうかは、技術的な選択ではなく政治的な選択に依存している。HN全体が締め付けに驚くほど無頓着なのは、ここにいる多くの人がトークンを含む分散型のものに超反対だからだ。文句を言うのは自由だけど、グループシンクのために分散型の代替手段をダウンボートしたり埋めたりするのは、私たちのプライバシーや自由の侵食に加担してることになるよ。たとえプロジェクトに反対でも、そのためにかけられた努力は、私たちがこの努力なしでは基本的に滅びることを考えると、アップボートする良い理由になるかもしれない。」

WEIの代わりに何を提案するの?それはインターネットの存在に関する問題をバカみたいに解決してるよ。確かに危機的状況だね。ボットの問題は、FacebookやGmailがHTTPSなしで運営されてるのと同じくらい深刻だと思う。それはさておき、「悪意のある力」とか言う人がいるけど、誰も強制してないのに、バカみたいにGoogleが作った、完全に無料で、しばしば自由な技術を使ってるのが理解できない。Appleみたいに、ソフトウェアがクソすぎて(メッセージ、Appleフォトとか)、使う理由がロックされて強制されてるからっていうのとは違う。@dangが会話の雰囲気が変わることを心配してるのが面白いね。彼は2009年の大学レベルの数学の人たちが集まってLISPについてコメントしてた世界を懐かしんでるけど、実際の問題は数学の知識じゃなくて、物事がニュアンスを持っていることに気づくことだと思う。感情的に強い面や数学的に中立な面だけじゃなくて、もっと多面的に問題を見ることが大事だよね。

ちょっとバカな質問かもしれないけど、iPhoneユーザーにはこれがどう機能するの?Google Playがないし、ここではAndroid/Google Playが必要みたいだけど。こんな大きな市場を切り捨てることはないと思うんだけど。

iPhoneにも認証機能があるよ: https://developer.apple.com/documentation/devicecheck/establ... でも、アプリをインストールしなきゃいけないから、ちょっと面倒くさいね。

iPadやiPhoneでも動くって言われてるけど、それが許される理由にはならないよね。むしろ、Google Playだけだったらもっと分かりやすかったのに、デュオポリーに合わせることで、どれだけ人を排除してるかが見えにくくなってる。

Appleは、Googleが提案するよりも約1年前にデバイス認証を導入してたよ: https://httptoolkit.com/blog/apple-private-access-tokens-att...

「悪いことはしない」から、世界で最も侵入的な監視システムを作るまでになったね。これがあった前からそうだったけど、もう何をやっても足りないってことを示してる。Googleは常にみんなのオンライン活動を追跡したがってるし、そのためにはどんな手段でも使うよ。

これは本当に気持ち悪いし、こうやって公の議論なしにこっそり進めようとするのは不誠実だね。前回みたいに却下されるといいけど、少なくともここには明らかに独占禁止法の問題があるはず。

もう気にする必要ある? 情報を探すためにランダムなウェブサイトにアクセスする必要がなくなったから、AIに聞けばいいし。

本気で聞いてるの? 税金を払ったり、オンラインで商品を注文したり、銀行口座にアクセスしたり、お気に入りのAIサービスにログインしたりするには、たいていCAPTCHAが関わってるよ。uBlock OriginでCAPTCHAをブロックして1ヶ月過ごしてみなよ。基本的なことができなくなるから。

AIはどこからその情報を得てると思う? 彼らもウェブをブラウズする必要があるし、これらの対策によって人間よりもブロックされる可能性が高いんだよ。

他のレスでも指摘されてるけど、アクセスが必要なサービス(例えば、銀行やお店)を除いて、どうやって探してる情報の真実性を確認したり、文脈を理解したりするの?(もしかしたら幻覚かもしれない!)でも、そういうAIを使うことに夢中な人たちは、あんまり気にしてないのかもね。

これが来るのは分かってたよ。コンピュータはCAPTCHAを解くのが人間より得意だし、人間は賄賂を受け取ったりボットネットに参加するように説得されることもあるから、IPホワイトリストも効かない。今は指紋認証や行動分析がたくさんあるけど、政府がそれに対して厳しくなってきてる。さらに、YouTubeは埋め込み動画のバックグラウンドで広告が再生される大規模な広告詐欺問題を抱えてたから、彼らの検出能力は明らかに不十分だった。自分がボットじゃないことを証明するのはあまり良い方法がなくて、ID確認のようなものを含まない方法はさらに少ない。彼らのオプトイン方式は、一時的に個々のウェブストアに責任を押し付ける助けになるから、これがうまくいくかは分からない。でも、長期的には、オープンで人間的なインターネットは消えてしまうか、こういった証明の背後にロックされることになる。Appleは数年前にSafariにリモート認証を組み込んで、Cloudflareと一緒にやってたけど、Googleは今、さらに一歩進んでる。Appleのアプローチは、スクリプト化された自動化ツールではなく、ブラウザを操作できるボットに対してはうまく機能しないからね。幸い、今のアプローチは、今はストアのようなものをターゲットにしてるだけだから、他のストアからは買い物できる。ストアがクリックファームが何百台もの電話でリモートで提供されたコンテンツをタップしてることに気づいたら、普及は限られるだろう。これがどこでも見られるようになるのは数年後だろうけど、AIが突然広く利用できなくならない限り、避けられないだろうね。

みんな、Chromeから離れた方がいいよ。彼らは全く敬意を失った。小さな一歩だけど、Chromeが始まった時と同じように、他のプレイヤーにチャンスを与えることになる。

ボットファームを始めたいなら、ランダムなAndroidデバイスをたくさん買うのが面白いね。

知らない人のために: WEIは「Twilight」などのシングルで知られるボーイバンドだよ。