皆さん、こんにちは。okamoです。
今回はAWS(WAF)のCAPTCHA(人間判定クイズ)の攻略法を紹介したいと思います。
最初のクイズ
まずは、こちらの画像をご覧ください。
「すべてのハットを選択」という問題です。9枚の画像が並んでいますが、わかりますでしょうか? 「ハット」なんだから、当然「キャップ」は除外ですよね?
それでは、正解を発表します。
赤枠で囲まれたものが、すべて正解の「ハット」です。 えっ、上段真ん中の画像、どう見てもキャップじゃないの!? って、私も思いました! AWSのCAPTCHAは、人間にとっても意外と難しいのです。
AWSのCAPTCHAとは?
そもそもCAPTCHAとは、Webサイトにアクセスしているのが人間か悪意のあるボットかを判定するための仕組みです。歪んだ文字を入力させたり、特定の画像を選択させたりするアレですね。 AWS WAFのCAPTCHAもその一つで、不正なログインやスクレイピングなどのボット攻撃からサイトを守る強力なセキュリティ機能です。
どんなサイトでAWSのCAPTCHAを使う?
一般的には、スパム投稿を防ぎたい掲示板や、チケット予約サイトなどで見かけます。 しかし、実は社内サイトや法人向け管理画面などで、ログイン認証やIPアドレス制限と併用してCAPTCHAを使うケースも非常に効果的です。
難しすぎない?利用者も嫌がるのでは?
先ほどのクイズのように「ハットとキャップの違い」で悩ませるような難易度だと、利用者がイライラしてクレームに繋がるのでは…と導入を躊躇するシステム担当者の方も多いでしょう。
しかし、攻略法さえわかれば大丈夫です! 難しかったクイズを楽しいエンタメに変える、その攻略法とはズバリ、 「細かい違いは気にせず、それっぽいものを全部選ぶ」 です。
先ほどのクイズに対して、この攻略法を当てはめてみましょう。
「帽子っぽいもの全部選ぶ」 → ハット、キャップ、ベレー帽、ニット帽…これら全部OKです!
細かい違いは気にしない。「カレーライスもハヤシライスも同じようなものでしょ」という大らかな考え方が、このCAPTCHAを突破する最大のコツなのです。
利用者に攻略法をきちんと教えることが大事
この攻略法さえ事前に利用者にきちんと伝えておけば、CAPTCHA導入のハードルはぐっと下がります。
セキュリティ効果: ボットの99%はCAPTCHAで止まる(難易度に関係なく)
UXコスト: 法人ユーザーに「コツ」を1回共有するだけ
導入コスト: WAFルールにAction: CAPTCHA を1行追加するだけ
費用対効果が圧倒的に高いのが特徴です。高度なBot Control機能や独自のスコアリングロジックを時間をかけて構築するよりも、WAFにCAPTCHAを入れて「攻略法メモ」をサクッと渡す方が、はるかに早くて確実なボット対策になります。クレームになるどころか、「あのクイズ、楽勝だよ!」というちょっとしたエンタメに変換できたら嬉しいですよね。
理解度クイズ
では、攻略法を踏まえてもう一問。
「すべてのバッグを選択」という問題です。 上段真ん中のあの巾着袋みたいなの…バッグなの?袋なの?と迷うところですが…
そうです!**「細かい違いは気にせず、それっぽいものを全部選ぶ」**です!
正解はこちら。
赤枠で囲まれたものが正解です。あの巾着袋もしっかり「バッグ」として認定されていますね。 皆さん、今回は迷わず正解できましたでしょうか?
最後に
近年、悪意のあるボット攻撃は激しさを増しています。 AWS WAFであれば、ルールに「Action: CAPTCHA」を1行追加するだけで、劇的にボット対策を強化できます。
ユーザービリティの低下を懸念して導入をためらっているシステム担当の方に、ぜひこの「攻略法付きの導入」をおすすめしたいと思い、この記事を書きました。 豆知識的なトピックではありますが、セキュリティ対策に悩む方のお役に立てれば本望です。
コメントを投稿するにはログインが必要です。