次世代のCAPTCHA：私はロボットか人間か

「私はロボットではありません」のCAPTCHA（Completely Automated Public Turing test to tell Computers and Humans Apart）を見るたびに、自分はふと、ドラえもんが困っている創作画像を思い浮かべてしまいます。

もしもドラえもんのような高度なロボット（AI）が実在するならば、このチェックを突破するのは簡単でしょう。しかし、もしかすると内部には何らかの制約（プロトコル）があって、AIが人間として認識されないようにしているのかもしれません。（だからこそ、ドラえもんもチェックを押せないのでしょう。）

とはいえ、もしAIがより人間らしく振る舞えるようになり、こうした制約が回避できるとしたら、従来のCAPTCHAはもはや有効ではなくなる可能性があります。そんな未来に向けて、CAPTCHAがどのように進化していくのか、そして現状のCAPTCHA技術がどのように機能しているのかについて考えてみます。

現在のCAPTCHA技術

CAPTCHAは当初、歪んだ文字や数字を人間が解読する形式で登場しました。1990年代当時、AIやボットにとってこれらの文字を認識することは難しく、スパムや不正アクセスを防ぐために非常に効果的な手段とされていました。しかし、AIの画像認識技術が進化するにつれ、この方法は簡単に突破されるようになりました。

初期のCAPTCHA（wikipediaより）
もっと読めない、斜めに吹っ飛んでいるのも出てきましたよね、後期。

次に登場したのが、画像ベースのCAPTCHAです。信号機や車といった特定のオブジェクトを含む画像を選ばせる形式で、AIには難しいとされていましたが、これも徐々に限界を迎えつつあります。最近の研究では、AIがこれらを100%突破できると報告されています。

画像使ったCAPTCHA認証、AIで100％突破に成功　チューリヒ工科大学

Breaking reCAPTCHAv2

リスクベースCAPTCHAの登場（reCAPTCHA v2とv3）

Googleが提供する「reCAPTCHA v2」から、ユーザーは単純に「私はロボットではありません」というチェックボックスをクリックするだけで、人間であることを証明できます。このシンプルさに不安を抱きますが、裏では高度な行動分析技術が使用されています。

※詳細なアルゴリズムや内部の動作原理は公開されていませんが、一般的に知られている情報に基づいて以下に説明します。

• マウスの動きやクリックのタイミング、ページ内での操作履歴、さらにはブラウザのクッキー情報など、多数のデータを基に人間とボットを区別しています。

• 人間が自然に行うマウス操作やスクロールのパターンは、ボットが再現するには難しいため、これが有効な判断材料となっています。

• もしリスクが高いと判断された場合、追加で画像ベースのCAPTCHAが表示され、さらなる検証が行われます。

追加で評価が必要な場合に出るイメージ。

そういえば最近、あまりにも難解でどうしても突破できないCAPTCHAに遭遇したことを思い出しました。確か「どれが山でしょうか？」という、シンプルな質問だったと記憶しています。
自分なりに「これだろう」と信じて選んでも、なぜか通過できませんでした。仕方がないのでものは試しと、ChatGPTに画像を連携して頼んでみたところ、その答えで無事に突破できたのです。
人間（と信じている者）が突破できず、AI（と信じている者）ができるというのも、何だか変な感じですね🙄
※ちなみにこの行為はOpenAIの規約に違反する可能性があるので、夢の中でやった、ということで……

余談

未来のCAPTCHA技術の可能性

さて、ではAIがさらに進化し、現在のCAPTCHAが次々と突破される未来に向けて、どのような技術が考えられるでしょうか？AIは人間を超えるスピードで問題を解き、感覚や倫理的判断も再現できるようになるかもしれません。この未来を見据え、次世代のCAPTCHAについて、いくつかのアイデアを考えてみます。

1. 複数のバイオメトリクス認証

現状、AIには指紋や顔といった生体情報がありません。このため、複数のバイオメトリクスを組み合わせた認証が有効な手段となるでしょう。例えば、顔認証と指紋認証を同時に行うシステムは、今後のAI技術に対しても有効である可能性が高いです。

2. 時間を評価する動的キャプチャ

基本的にAIは膨大な情報を瞬時に処理し、最適な解を導き出す能力を持っています。しかし、これが逆にAIを見分けるための手段にもなるのではないでしょうか。人間には自然な迷いや考慮が必要な問題を提示し、解答にかかる時間を評価するキャプチャシステムが考えられます。

例えば、非常に抽象的な質問や感覚的な問いに対し、人間が長い時間をかけて答える一方で、AIが異常に速く正解を出す場合、これを識別してAIとして検出することが可能かもしれません。この「解答にかかる時間」を活用することで、AIを効率的に排除できる仕組みが構築できるでしょう。

3. 人間特有の「迷い」や「曖昧さ」を捉えるシステム

AIは合理的であり、計算的に即座に解を出す一方で、人間はしばしば直感的な判断や迷いを含めて結論を出します。こうした人間特有の「曖昧さ」や「迷い」を捉えるシステムも、将来のCAPTCHAとして有効となるでしょう。選択肢の間でわずかな迷いが見られるとか、判断に一貫性があるかどうかといった、微細な行動を評価することで、AIと人間を区別することができるかもしれません。（v3にも近いですが）

4. 生理的反応を測定するCAPTCHA

もう一つの可能性として、生理的反応を利用したCAPTCHAが考えられます。例えば、心拍数やストレス反応を伴う状況で、人間の身体は自然な反応を示しますが、AIにはそのような生理的な変化がないため、これを利用した検出システムが開発される可能性があります。ストレスの多い状況下での生体反応を測定することは、より正確な判別手段となるでしょう。

デメリット

複数のバイオメトリクス認証や生理的反応を利用したCAPTCHAは、技術的には有効かもしれません。しかし、ユーザーのプライバシーやデバイスの制約、導入コストなどの課題があります。ウェブ上で指紋や心拍数などの生体情報を取得することは、ユーザーの抵抗感や法的な問題を引き起こす可能性があります。色々なOSや、国（特にEU）で使用できるようにするには、かなり大変でしょう。

また、AI技術がさらに進化すると、人間特有の「迷い」や「曖昧さ」も再現できる可能性があります。そのため、時間や行動パターンだけでAIかどうかを検出することは結局のところ、将来的に難しくなるかもしれません。新しいCAPTCHA技術の開発には、これらの点も考慮しなければならないでしょう。

まとめ

AI技術が進化することで、従来のCAPTCHAが次々と突破される未来は近いでしょう。そんな中で、私たちは新しいCAPTCHA技術を開発し続ける必要があります。複数のバイオメトリクスを組み合わせることや、時間や迷いを評価するシステム、さらには生理的反応の測定など、多様な手段を組み合わせることで、より高度なセキュリティを確保することが可能です。（もっとも、CAPTCHAにそこまで求めない考えもありますが。）

未来のインターネットでは、AIと人間がさらに密接に共存することになるでしょう。その中で、私たちがどのようにして「人間らしさ」を守り、セキュリティを強化していくのか、その答えはまだ進化の途上にあります。しかし、こうした技術の進化が、インターネットの安全性と利便性を保ち続けるための鍵となることは間違いないでしょう。