何年もの間、私たちはCAPTCHAが私たちをイライラさせると書いてきました。人間がCAPTCHAパズルをあきらめる割合は約15%にのぼり、しかも厄介なことに、人間よりもボットの方が圧倒的にCAPTCHAを解きやすいのです。私たちは過去3年半を費やして、ボットを阻止する効果のある、人間にとってより良いエクスペリエンスの構築に取り組んできました。今月の時点で、Cloudflareによって発行されるすべてのCAPTCHAを、CAPTCHAの新しい代替であるTurnstileに置き換えました(下の写真)。Cloudflareはいかなる理由であれ、もう誰に対してもビジュアルパズルを発行することはありません。
CloudflareでCAPTCHAを廃止した今、他のCloudflareサービスを使っていなくても、誰でも簡単に同じことができるようにしたいと考えています。私たちはTurnstileをプラットフォームから切り離し、数行のコードを追加するだけで、どのプラットフォームのどのWebサイト運営者でもTurnstileを使用できるようにしました。Turnstileの一般利用が可能になり、Turnstileの「マネージド」モードが無制限で誰でも完全に無料で利用できるようになったことを発表できることを嬉しく思います。
人間には優しく、ボットには厳しく、誰でもプライベートに
Turnstileのシンプルなチェックボックスには、誰にとっても使いやすく、ユーザーのプライバシーを守り、ボットを阻止するために多くの工夫が凝らされています。すべての人にとってチャレンジが使いやすくなっているのは、1つにはどのブラウザを使用していても、すべての人が同じ優れたエクスペリエンスを得られるためです。ビジュアルパズルが採用されていないため、弱視や目の不自由なユーザーも他のユーザーと同じように使いやすいチャレンジの流れを得ることができます。
誰もが利用しやすい体験を提供するために、音声CAPTCHAに逆戻りしないようにすることが特に重要でした。音声CAPTCHAは、人間が解くにはビジュアルCAPTCHAよりもはるかに難しいことが多く、音声チャレンジのうち、実際に正しい解答が何であるか3人で合意できたのは31.2%にすぎません。無料の音声テキスト化サービスの普及により、ボットが音声CAPTCHAを解くことも容易になっており、最近の調査では、ボットは85%以上の試行で音声CAPTCHAを正確に解くことができるという結果が出ています。TurnstileがWCAG 2.1レベルAAに準拠しており、ビジュアルCAPTCHAだけでなく音声CAPTCHAの必要性も排除していることは私たちの誇りです。
当社では、プライバシーを重視するためにもTurnstileを作成しました。Turnstileは、ePrivacy Directive、GDPR、CCPAのコンプライアンス要件、および当社のプライバシーに関するコミットメントの厳格な要件を満たしています。さらに、CloudflareのFedRAMP Moderate認証取得済みパッケージである「Cloudflare for Government」にはTurnstileが含まれています。ユーザーが人間かロボットかの判断は、他のどのWebサイトを訪問したかといったユーザーデータの追跡には依存していません。当社のビジネスは、広告を販売することではなく、Webサイトを保護することです。したがって、事業者は、ユーザーのデータが安全であることがわかっているTurnstileを導入することができます。
Turnstileのチャレンジをパスするのがいかに_簡単_であるかを強調したところで、ボットをどうやって止めることができるのかという疑問が起こるのは当然でしょう。もしボットが、私たちよりも早く、粒子の粗い写真から横断歩道のあるすべての画像を見つけることができるのであれば、同様にチェックボックスをチェックすることもできるはずです。ボットは間違いなくボックスをチェックでき、その際、人間のマウスの不規則な動きを模倣することさえできます。Turnstileにとり、ボックスをチェックするという実際の行為は重要ではありません。重要なのは、ボックスがチェックされている間に解析しているバックグラウンドデータです。一連のブラウザ内テストを実行し、ブラウザの特性、ネイティブブラウザAPIをチェックし、ブラウザに簡単なテスト(プルーフオブワークテスト、プルーフオブスペーステストなど)に合格するよう求め、それが実際のブラウザであることを証明することで、ボットを発見し、阻止します。Turnstileの現在のデプロイメントでは、毎日何十億ものWeb訪問者をチェックしており、ボットがこれらのテストに合格しようとして示すブラウザの異常を特定することができます。
1年以上にわたって、当社はManaged Challengeを用いて、CAPTCHAと当社独自のTurnstileチャレンジを交互に使用し、その効果を比較しました。ユーザーにやりとりをまったく求めない場合でも、TurnstileはCAPTCHAと同じほど効果的であることがわかりました。この結果がボット作成者からの反応に対処するのに有効であることを確認した後、CAPTCHAチャレンジを独自のチェックボックス・ソリューションに置き換えました。私たちは、潜在的に不審なシグナルが見られた場合にこの追加テストを行い、さらに高いセキュリティのレイヤーを提供するのに役立っています。
Turnstileは詐欺対策に最適
無料でサービスを提供するすべてのサイトと同様に、Cloudflareでも、自動アカウント登録が一定の割合で発生しています。この中には、悪質な業者が当社のプラットフォームを悪用するために多数の異なるアカウントを自動作成する「新規アカウント詐欺」が含まれることがあります。このような悪用に対抗するため、Turnstileの不可視モードを導入し、当社のサインアップページを保護しています。今月は、Turnstileを使用して100万回以上の自動サインアップの試行をブロックしましたが、誤検知の報告や、このサインアップフローに依存しているセルフサービスの請求に変更はありませんでした。
Turnstileベータ版からの教訓
過去12ヶ月の間、多くの人々がTurnstileの試用を希望し、その後それを信頼して、彼らのWebアプリに統合してくださり、とても感謝しています。開発者コミュニティがTurnstileを同様に受け入れてくださっていることも実り多いことでした。WordPress、Angular、Vue、そしてCloudflareが推奨するReactライブラリとの統合を含む、コミュニティが作成したTurnstile統合の一部をここにリストアップします。お客様からのフィードバックに基づき、17の新しい言語、新しいコールバック、新しいエラーコードのサポートが追加されています。
76,000人以上のユーザーが登録しましたが、最大のテストとなったのはユーロビジョンの最終投票でした。Turnstileは2,500万以上のCloudflare Webサイトのチャレンジページで実行されています。ユーロビジョンの最終投票が行われるまでは、通常はCloudflareがTurnstileの最大の利用者でした。その1時間の間に、ユーロビジョンの投票サイトからのチャレンジトラフィックは、2,500万サイトを合わせたチャレンジページの利用を上回りました!Turnstileは、トラフィックの膨大なスパイクを問題なく処理しました。
Turnstileのベータ版では多くのことがうまくいきましたが、学ぶべき機会もいくつかありました。私たちは当初、Turnstileチャレンジが失敗した理由を開示することに抵抗がありました。結局のところ、私たちが解決しようとしていることを悪質な行為者が知れば、新しい検出手段が導入されるまで、ボットが私たちのチャレンジを欺くことは容易になります。しかし、Turnstileのベータ版では、正当なユーザーがチャレンジをパスできないシナリオがいくつか見られました。これらのシナリオでは、Turnstileに引っかかるような方法でブラウザを変更した可能性のある個人を助けるために、チャレンジが失敗した理由について透明性を確保する必要があることが明らかでした。チャレンジが失敗した理由を明らかにするために、クライアント側の詳細なエラーコードを公開するようにしました。予想もしていなかった2つのシナリオが何度か出てきました。
まず、少なくとも10年以上前のデスクトップパソコンは、マザーボードのバッテリーの寿命が切れていることが多く、また、マザーボードのバッテリーが悪いパソコンは、正確な時刻を刻んでいないことが非常に多いことがわかりました。これは、マザーボードのバッテリーがないと、コンピューターの電源が切れているときにデスクトップコンピュータの時計が作動しなくなるためです。チャレンジページをキャッシングするとパスできなくなるため、Turnstileは、Webサイト運営者が誤ってチャレンジページをキャッシュするように設定した場合を検出するため、コンピューターのシステム時間をチェックします。残念なことに、意図せずにこの同じチェックで、単に時刻を更新する必要のあるユーザーが引っかかっていたのです。この問題が発生した場合、エンドユーザーに対してシステム時刻を更新するようにと、明確なエラーメッセージを表示するようにしました。私たちは、そもそもエラーを表面化する必要をなくすことを望んでいます。そのため、実際のユーザーに影響を与えない仕方で、キャッシュされたコンテンツをチェックする新しい方法の開発に取り組んでいます。
第二に、プライバシーを重視する少数のユーザーは、匿名性を維持するために、ブラウザに標準的な慣行以上の事柄を求める場合が多くあります。これには、ユーザーエージェントを変更したり(ボットも同様に検出を回避するために行います)、サードパーティのスクリプトが完全に実行されないようにしたりすることが含まれます。この動作によって引き起こされる問題は、Turnstileウィジェットで明確に表示できるようになったため、ユーザーは問題を即座に理解し、ブラウザがチャレンジを通過することを許可するかどうかを慎重に選択できるようになりました。
Cloudflareには非常に感度の良い、綿密に構築された監視システムがありますが、当社側でこれらの問題を発見することはできません。何が問題なのかを理解するためには、この問題に影響を受けたユーザーに話を聞く必要がありました。今後は、直接のコミュニケーションラインを常にオープンにしておきたいと思います。Turnstileウィジェットに新しいフィードバックフォームを設置し、今後発生するあらゆる問題に迅速かつ緊急に対応できるようにします。
Turnstile: すべての人に無料で一般提供
Turnstileの一般提供開始を発表したことは、Turnstileが完全に製品化され、マネージドモードの可視ウィジェットで無制限に無料で利用できるようになったことを意味します。Turnstile Enterpriseには、SaaSプラットフォームのサポートと、Cloudflareロゴのない可視モードが含まれます。セルフサービスのお客様には、2024年初頭に高度な機能の従量課金オプションが利用可能になる見込みです。Turnstileの高度な機能へのアクセスは、ベータ期間中と同様、100万siteverifyリクエストの制限以下で継続できます。Turnstileを試してみたい方は、サインアップページにアクセスしてアカウントを作成してください!