認証コードの仕組み
長年にわたり、ウェブサイトやモバイルアプリケーションは大規模なボット攻撃に悩まされてきました。
これらの悪意のあるボットはプログラムによって自動的に大量の計算リソースを消費し、スパムを投稿し、ウェブサイトのデータを収集し、さらにはユーザー認証を登録して実行します。
2022年には、インターネットトラフィックの半分近く(47.4%)がボットによるもので、前年比5.1%増加しました。人間のトラフィックの割合(52.6%)は8年ぶりの低水準となりました。
このような状況下で、CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart)が生まれ、現在では認証コードとして知られています。
コンピューターサイエンティストのTam Nguyenは、少なくとも短期的には、認証コードはウェブサイトが自動攻撃を防ぎ、ネットワークセキュリティを強化し、ユーザーエクスペリエンスを向上させるための効果的な障壁だと考えています。
認証コードは、人間にとっては簡単だがコンピューターボットにとっては難しい質問や課題として設計されています。
認証コードは、テキストベース、画像ベース、音声ベース、行動ベースの4つのタイプに分類されます。
テキストベース
インターネットの誕生以来、テキストベースの認証コードは非常に人気がありました。
このタイプの認証コードは、ユーザーに歪んで複雑なテキスト画像を読み取り、その答えをテキストフィールドに入力することを要求します。
テキストベースの認証コードの変形として、「18+5」や「23-7」などの簡単な数学問題を解くよう求めるものもあります。
しかし、ディープラーニングAIの普及により、最近では高度な光学文字認識アルゴリズムがこの問題を解決しています。
皮肉なことに、テキストがより歪んで複雑になると、実際の人間が正しい答えを提供できなくなります。
Wiredは「今週2回認証コードテストに失敗しました。私はまだ人間ですか?」という記事を掲載しました。
音声ベース
音声認証コードは、人間の声や合成音声で一連の数字や文字を読み上げる短い音声クリップを再生し、ユーザーはそれを聞いた後、提供されたテキストフィールドにそれらの数字や文字を入力します。
入力内容は正解と照合され、ユーザーが人間であるかどうかが判断されます。
テキストベースの認証コードと同様に、音声認証コードも背景ノイズ、音質の悪さ、ひどい歪み、なじみのないアクセントなどの要因により、人間にとって解読が難しくなる場合があります。
画像ベース
画像ベースの認証コードは、ボットへの挑戦をより困難にするために導入されました。
ユーザーは画像から特定のオブジェクトを識別する必要があります。例えば、信号機を含むすべての画像ブロックを選択するなどです。
このタスクは人間の視覚認識を利用しており、人間の視覚認識は依然としてほとんどのコンピュータービジョンベースのボットよりも優れています。
しかし、このタイプの認証コードも多くの場合、人々を混乱させます。
「認証コードはいつも小さな端の部分で悩まされます」
行動ベース
行動ベースの認証コードは、マウスの動きやタイピングパターンなど、ユーザーの行動を分析します。
人気のある行動ベースの認証コードreCAPTCHAは、ユーザーに「I'm not a robot」のボックスにチェックを入れるよう求めます。
このプロセスで、reCAPTCHAはマウスの動きとクリックを分析して、人間とボットを区別します。人間の行動は通常変化が多く予測可能性が低いのに対し、ボットの行動は通常正確で一貫しています。
AI vs. 人間
AIと人間の間の終わりのない戦いの中で、認証コードは新たな戦場となっています。
当初、画像ベースの認証コードのアイデアは、本のデジタル化タスクでAIがテキスト認識をより良く実行できるよう訓練するのを助けるためのものでした。
Luis von Ahn(Duolingoの共同創設者)によるこの革新的なアイデアは、スキャンされた不明瞭な単語を認証コードとして人間に提示し、これらの単語を識別することで、私たちはAIを教育しました。
現在、AIはますます高度になり、ディープラーニングやコンピュータービジョンなどの最新技術を使用して認証コードの課題を解決できるようになっています。
例えば、光学文字認識アルゴリズムの継続的な改善により、テキストベースの認証コードの効果が低下しています。高度な音声テキスト変換技術により、音声認証コードを回避することができます。同様に、大量の画像データセットで訓練されたAIモデルは、多くの画像ベースの認証コード問題を高い精度で解決できます。
論文リンク:https://arxiv.org/pdf/2307.12108
戦場の反対側では、認証コード研究者がより複雑な認証コード技術を生み出しています。
例えば、reCAPTCHAはユーザーの対話行動を評価し、彼らが人間である可能性を計算します。
皮肉なことに、人間はAIが複雑な認証コード問題を解決するのを助けています。
例えば、クリックファームは大量の低賃金労働者を雇用して広告をクリックさせ、ソーシャルメディアの投稿、アカウントのフォロー、偽のレビューの作成、さらには認証コード問題の解決までを行っています。
ベトナムのソーシャルメディアクリックファーム
彼らの仕事は、AIシステムが人間のように振る舞えるようにし、認証コードやその他の不正防止技術を打ち負かすことです。
認証コードの未来
セキュリティ対策とそれを回避しようとする永続的な軍拡競争が、継続的なイノベーションを促進しています。
AIの進化に伴い、ネットワークセキュリティの専門家とデジタル障壁を突破しようとする人々の両方が採用する方法も進化し続けるでしょう。
予想されるように、認証コードの未来はAIの継続的な進歩の影響を受けるでしょう。
従来の認証コード方法は効果を失いつつあるため、将来の認証コードシステムは、人々がウェブサイトとどのように対話するかなど、ユーザーの行動分析にさらに焦点を当てる可能性があり、ボットがこの行動を模倣するのをより困難にするでしょう。
ウェブサイトは顔認識や指紋スキャンなどの生体認証認証コードの使用に移行する可能性がありますが、これらはプライバシーの問題を引き起こします。