Google Cloud Fraud Defense、reCAPTCHAの次の進化段階

 (cloud.google.com)
1 ポイント 投稿者 GN⁺ 1 시간 전 | 1件のコメント | WhatsAppで共有
  • Google Cloudが Google Cloud Fraud Defense を発表し、reCAPTCHAの次の進化段階としてエージェント型Webのための信頼プラットフォームを打ち出した
  • Fraud Defenseは ボット、人間、AIエージェント の正当性を検証し、企業がデジタルな相互作用と商取引を保護するために必要なインテリジェンスを提供するよう設計されている
  • 新しいダッシュボードと エージェント型ポリシーエンジン により、Webサイト上のエージェント型活動を測定・分類・制御し、リスクスコア・自動化の種類・エージェントの身元に応じて許可またはブロックできる
  • エージェントで潜在的な不正行為が特定されると、QRコードベースのチャレンジ により人間が介入して実在を証明させ、自動化された不正を経済的に困難にすることを目指す
  • 既存のreCAPTCHA顧客は自動的に Fraud Defense 顧客となり、移行・追加対応・価格変更なしで既存のサイトキーと統合がそのまま維持される

エージェント型Webの信頼プラットフォーム

  • Google CloudがGoogle Cloud Nextで Google Cloud Fraud Defense を発表
  • Fraud Defenseは reCAPTCHA の次の進化段階であり、エージェント型Web(agentic web) のための信頼プラットフォーム
  • 自律的なAIエージェントは公開Webと業界標準プロトコルを使って推論、計画、複雑な取引を実行し、オンラインでの相互作用を強化できる一方で、新たな悪用や不正のベクトルも生み出す
  • Fraud DefenseはGoogle自身のエコシステムを保護するグローバルシグナルを活用し、企業が人間ユーザーとAIエージェントの両方に対して信頼できる体験を提供できるようにする

エージェント型トラフィックの測定と制御

  • Fraud Defenseは、顧客がWebサイト上のエージェント型活動を測定・制御できる一連の機能を提供する

  • エージェント型活動の測定

    • 新しいダッシュボードで エージェント型活動 を測定し、把握できるようにする
    • Web Bot Auth、SPIFEEのような業界標準と既存の手法を併用して、エージェント型トラフィックを識別・分類・分析する
    • エージェントの身元と人間の身元を結び付け、リスクと信頼をより適切に把握できるようにする

  • エージェント型ポリシーエンジン

    • エンドユーザーとの相互作用の複数段階と、全体のジャーニーを通じて、よりきめ細かな制御を提供する
    • Fraud Defenseのエージェント型ポリシーエンジンは、リスクスコア、自動化の種類、エージェントの身元といった条件に基づいて、エージェントやユーザーを許可またはブロックできるようにする

  • AI耐性チャレンジ

    • エージェントで潜在的な不正行為が特定されると、アプリケーション提供者は新しいQRコードベースのチャレンジによって悪意あるリクエストを抑止・軽減できる
    • このチャレンジは、人間が介入して実在を証明するよう求めるもので、自動化された不正を経済的に不可能にすることを目標に設計されている

既存のreCAPTCHA顧客への影響

  • reCAPTCHAは、より広範なFraud Defenseプラットフォームの中核となるボット防御の柱として引き続き維持される
  • 既存のreCAPTCHA顧客は自動的にFraud Defense顧客となる
  • 移行は不要で、追加の対応も不要、価格変更もない
  • 既存のサイトキーと統合は現状とまったく同じ形で維持される

エージェント型Webのための3つのアプローチ

  • エージェント型Webにおける不正と悪用の防止は、根本的には よりシンプルな顧客体験 につながるべきもの
  • Fraud Defenseは、安全なエージェント型Webを実現し、ビジネス成長を支援するために3つのアプローチを採用する

  • 進化する脅威の防止

    • Fraud Defenseは、Googleのさまざまなサービスを保護するために使われている不正インテリジェンスで企業を守る
    • 脅威がボット自動化や無効トラフィックから、エージェント乗っ取りや大規模なAIベースの合成ID不正へと移行する中、サイトに到達する前に新たに出現する脅威を特定する
    • この可視性は、Fortune 100企業の50%と全世界で1,400万超のドメインをすでに保護している大規模な不正インテリジェンスグラフに基づく
    • ローカルデータだけでは実現しにくい水準の集団免疫と検証済みの信頼を提供する

  • 顧客ジャーニーの保護

    • 攻撃者はエンドポイントを個別に狙うのではなく、デジタルジャーニー全体を狙う
    • エージェントがエンドツーエンドのジャーニーを担うエージェント型Webでは、この性質がさらに強まる
    • Fraud Defenseは、登録、ログイン、支払い、チェックアウトまでのリスクを統合的に可視化する
    • ライフサイクル全体でテレメトリーデータを相関分析し、分断されたポイントソリューションが見逃す複雑な多段階不正キャンペーンを特定する
    • この統合信頼モデルは、正当な顧客活動と巧妙な悪用を見分け、アカウント乗っ取り(ATO)を 平均51%削減した ことが示されている

  • ビジネス成長の加速

    • エージェント型経済では摩擦がコンバージョンを低下させる
    • Fraud Defenseは大半のユーザーに見えないよう設計されており、邪魔なパズルを静かなバックグラウンド検証に置き換える
    • インテリジェントな信頼モデルを用いて、悪性のボット・人間・エージェントを精密に遮断しながら、正当なユーザーを受け入れられるようにする
    • 2025 Shopify Retail Report によれば、AIショッピングアシスタントは平均注文額を25%押し上げる見込み

追加の確認先

関連記事

1件のコメント

 
GN⁺ 1 시간 전
Hacker Newsのコメント

  • モバイル端末の要件はここに書かれている: https://support.google.com/recaptcha/answer/16609652
    今後ウェブを閲覧するには、Google Play Servicesがインストールされた最新のAndroid端末か、最新のiPhone/iPadが必要になるように見える
    まだ端末の完全性検証には触れられていないが、向かっている方向はもう明らかに見える

    • Google Play Servicesが要件に入っているなら、Play Integrityの証明が可能な認定Android端末が必要だと考えるべきだ
      Google Play Servicesを入手する公式サポート経路はそれしかないからだ
      こういう一般消費者向けのサポート文書では、どのAPIを使っているかのような実装詳細までは普通書かないし、MEETS_DEVICE_INTEGRITYが必要でもここに明記されない可能性が高い
      たとえばGoogle Payの一般向け文書も、「認定された」Android端末と画面ロックが必要とだけ書いている: https://support.google.com/wallet/answer/12200245
      FAQの最後まで掘ると、root化したスマホではタップ決済が使えないと出てくるが、その要件はすでに認定要件に含まれているとも言える [1]
      Googleの観点では、Googleが登録した商標のため、法的にもAndroid == Google Androidだ
      この機能が端末証明を使わないなら簡単にだませてしまうので大した意味はなく、最初は使わなくても今後数年以内にA/Bテストで端末証明を入れ始める気がする
      [1] “What to do if you see device is not certified” -> “Reset device to fix issue” を展開 https://support.google.com/android/answer/7165974
    • 私のGrapheneOSの旅がさらに波乱に満ちたものになりそうだ
      ウェブ閲覧のためにユーザーをGoogle公式の本人確認手続きへ押し込むなんて、本当にひどい
      iPhone向けのreCAPTCHAアプリもGoogleアカウントへのログインを強制するのだろうか?
      ウェブが匿名性を失うのに、身分証確認までは必要なかったはずだ
    • この方式だと両方の端末でBluetoothを有効にしないといけない気がする
      少なくとも、PCに表示されたQRコードをスキャンしてスマホのpasskeyで認証する機能はそうだし、この機能も似たようなものに見える
      Bluetoothは2台の端末が実際に物理的に同じ場所にあることを確認するのに使われる
    • ウェブサイトにトラフィックが欲しいなら、もうreCAPTCHAの利用をやめる必要があるかもしれない
      もちろん皆おとなしく従うのだろうが、せめて数分くらいは夢を見させてくれ
    • 数年前から、スマホでウェブを閲覧するなんて馬鹿げていると言ってきた
      結局、状況が十分に悪化すれば人々も私に同意するようになるだろう

  • QRコードベースのチャレンジを詐欺防止の「エージェント的」手法として宣伝するなんて信じられない
    人間が読めないデータを入力させるのは危険だし、QRコードがゼロデイURLで汚染されていたら終わりだ
    最近QRコードがどこにでもあるのは分かるが、URLにアクセスするためにQRコードを無警戒にスキャンするのは、インターネットからダウンロードしたバイナリを実行するのと似たようなものだ
    curl $URL | bash というインストール方式も本質的にはまさにそれだが、なぜか広く普及してしまった

  • 購入のためにQRコードをスキャンしろと要求する会社からは買わない

    • 中国では長くは持たないだろう
      あそこでは実際ほぼどこでもQRコードをスキャンして支払う
    • 多くの飲食店がQRコード注文を強制している
      コロナ禍で始まったがそのまま残っていて、私の経験では特にアメリカ以外でよく見かける
    • もうすぐ来るだろう
      Poshmarkの馬鹿どもは、35ドルのシャツを買うのに政府発行の身分証を要求してきた
      古いアカウントで、住所もクレジットカードと一致していたのにだ
      答えはアカウント削除しかない

  • QRコード機能は、人々が慣れてしまえばだましてPegasusの配布手段にできそうだ

    • QRコードをスキャン → 「captchaアプリ」がインストールされていないとしてPlay Storeへ自動リダイレクト → Google Playのひどい審査のせいでマルウェアをダウンロード → 完了
      この発想をしたのは私が最初ではないはずだよな?
    • 全体としてため息が出るし、あらゆるものを少しずつ悪くしてきた我々の「先見的なリーダーたち」に感謝したくなる
      でもその代わりにAIの楽園がやって来るんだよな?
      そうだよな?

  • 真面目に聞きたいのだが、スマホを持っていなければどうなる?

    • それは君が農奴だから重要ではないという意味だ
      心配はいらない
      通信会社と提携して、君の予算に合う端末を補助金付きで提供し、あらゆる機会に買えるようにしてくれるだろう
    • 社会全体の態度はだいたい「勝手に消えろ」に近いように見える
      そして新しい端末も買わなければならないだろう
      多くのものがアプリ専用になっているか、そちらへ向かっていて、特定の国への旅行まで含まれる

  • モバイル端末が今や「人間であること」を証明するのに必須になったというのは、Googleがもはやデスクトップ/オープンプラットフォームを信頼していないという意味だ

    • それはどこに明記されているんだ?
      原文では見つけられない
    • そもそも誰がそれを信頼しているんだ?
      私には、信頼されているデスクトッププラットフォームはmacOSくらいにしか見えない

  • タイミングが実に面白い
    この1週間、アドレスバーで検索するたびにCAPTCHAに悩まされていて、2時間も経たないうちに全部DuckDuckGoへ切り替えた
    やるじゃないか、Google!

  • スマホの利用を少しずつ減らそうとしている
    理想を言えばフィーチャーフォンに戻したいくらいだ
    だが、すべてのウェブサイトが認証済みスマートフォンでのQRコードスキャンを要求し始めたら、こうした戦略はほぼ不可能になるだろう

    • だからこそ、もっと多くの人が、自分たちの送っているスマホ中心の生活にも代替手段があると早く気づく必要がある
      携帯電話の所持は義務ではないし、義務になってもいけない
      政治家たちも少し目を覚ますべきだ

  • Googleは明らかにGoogleが承認したモデルだけにウェブを歩き回らせたいのだ