新しいreCAPTCHA、通過には承認済みのスマートフォンが必要

 (cybernews.com)
2 ポイント 投稿者 GN⁺ 4 시간 전 | 1件のコメント | WhatsAppで共有
  • Googleの新しいreCAPTCHAは、デスクトップやノートPCの利用中であっても、対応するモバイル端末でQRコードをスキャンする検証を要求する
  • GrapheneOSは、iOSまたはGoogle Play ServicesがインストールされたAndroid端末がなければ、オンラインサービスへのアクセスが妨げられる可能性があると警告している
  • Googleのサポート対象一覧には、Google Play Servicesを搭載したAndroidとiOS/iPadOS端末しか含まれておらず、deGoogled Androidスマートフォンなどは検証を完了できない
  • Googleは、QRコードベースの課題はAIエージェントが従来の課題を容易に解いてしまう状況を防ぎ、自動化された詐欺を経済的に成立しないようにするための方式だとみている
  • Hacker News、X、Redditなどでは、リモートアテステーションと認証済み端末の要求が、セキュリティよりもコンピューティングの自由とモバイル市場競争を制限するという反発が強まっている

何が変わったのか - 新しいreCAPTCHAの端末制限

  • 人間であることを証明するには、承認済みのAndroidまたはiPhoneを所有している必要がある構造で、ユーザーは「対応するモバイル端末」でQRコードをスキャンしなければならない
    • プライバシー重視のOSや端末の利用者は検証から排除されるとGrapheneOSは警告している
  • 最近の変更により、deGoogled Androidスマートフォンのような任意の端末・OSではGoogleのreCAPTCHA検証を完了できなくなった
  • 検証を完了できる端末の一覧は、Google Play ServicesがインストールされたAndroidiOS/iPadOS端末のみに限定されている
  • reCAPTCHAは、数百万のウェブサイトや主要サービスが利用するセキュリティツールで、人間とボットを見分ける機能を持つ
    • ほとんどはバックグラウンドで見えない形で動作するが、不審な兆候があると消火栓や信号機の識別といったチャレンジを提示する

  • GrapheneOSの批判

    • GrapheneOSは公開声明で、この措置を「極めて反競争的」と表現した
    • 「reCAPTCHAに対する支配力により、Googleはウェブの広大な領域を利用するためにiOSまたは認証済みAndroid端末を要求できる立場に立つ」
    • 今回の変化をハードウェアベースのアテステーションの拡大と位置づけ、ハードウェアとOSの競争をますます排除していると指摘した
      • attestation : 内蔵されたセキュリティチップを通じて、ハードウェアが正規端末であることを暗号学的に証明する方式
    • 「このシステムの目的は、AppleやGoogleが承認していないハードウェアやソフトウェアの利用を防ぐことであり、これはセキュリティ機能として誤って提示されている」
      • 「10年間パッチが当たっていない端末は許容しながら、はるかに安全なOSはブロックする」、Google Mobile Servicesライセンスを通じた独占の強制が目的だと主張している

  • Cloud Fraud DefenseとAI耐性型課題

    • 新しいreCAPTCHAは、4月22日に発表された**Cloud Fraud Defense**プラットフォームの一部で、ボット・人間・AIエージェントの正当性を検証するよう設計されている
    • Googleは「高度な自動化の増加がリスク管理の根本的な転換を求めている」と説明している
    • サポート対象一覧には、Google Play ServicesがインストールされたAndroid端末とiOS/iPadOS端末だけが含まれている
    • ウェブサイト運営者は、リスクスコア、自動化の種類、エージェントの身元などの条件に基づき、ボットやAIエージェントを許可または遮断する細かな制御を利用する
    • 新しいQRコードベースのCAPTCHAは、従来のチャレンジを容易に解いてしまうAIエージェントの遮断を目的としている
      • Googleは「人間の存在を証明するこのAI耐性型の緩和チャレンジは、自動化された詐欺を経済的に成立しないように設計された」と説明している
    • Googleは既存のreCAPTCHA顧客を、追加の対応や価格変更なしでFraud Defenseへ移行させる
    • 少なくとも2025年10月から静かに機能を展開しており、当時のブログ投稿では「より強力なAI耐性型セキュリティ」を提供するQRコード方式が発表されていた
      • PCやMacで閲覧している場合でも、物理的なモバイル端末の介入が「固有の人間が存在するという高信頼のアテステーション」を提供する
    • GrapheneOSは「Windows、デスクトップLinux、OpenBSDなどにハードウェアアテステーション要求を導入するものであり、認証済みスマートフォンでのQRスキャンを要求する。さらに拡大する可能性もある」と説明した
    • プライバシー擁護派は、Apple App AttestGoogle Play Integrityをますます要求するサービスが、モバイル市場の複占を固定化していると警告している
      • GrapheneOSは「EUがデジタル決済、ID、年齢認証などでこうした要求を主導しており、多くのEU政府アプリがこれを要求する」と述べている

反発と懸念

  • ウェブサイト運営者は、どのCAPTCHAソリューションを使い、どれだけ厳格に適用するかを決める
  • プライバシー擁護派は、Apple App AttestまたはGoogle Play Integrityの要求が増えることで、モバイル市場の二強構造が固定化すると警告している
  • GrapheneOSは、EUがデジタル決済、ID、年齢確認などにこうした要求を適用する流れを主導しており、多くのEU政府アプリがこれを要求しているとみている

  • 技術コミュニティとソーシャルメディアの反応

    • Hacker Newsの技術コミュニティでは、論争の核心はセキュリティではなく権力の掌握だという意見が広く見られる
    • あるHacker Newsユーザーは「リモートアテステーションは、私たちのコンピューティングの自由が死ぬ形になるだろう」と書いた
    • Xでは関連投稿が数百万回の閲覧と数万件の反応を集めた
    • International Cyber Digestは、GrapheneOS、CalyxOS、/e/OSなどdeGoogled Android端末の利用者が、意図的に削除したGoogle Play Servicesを再インストールしなければ、数百万のウェブサイトでブロックされると書いている
    • International Cyber Digestは「Googleは今やプライバシーをデフォルトで疑わしい行為として扱っている」と表現した

  • 過去の類似の試みとセキュリティ上の懸念

    • オンラインプライバシー企業Megaは、Googleが2023年にWeb Environment Integrityという類似措置を実装しようとしたが、公開の反発を受けて撤回したと明らかにした
      • 「今回は公開提案ではなく、商用製品として投入した。既存のCAPTCHA方式は当面フォールバックとして利用できるが、いつまで維持されるかは分からない」
      • 「認証済み端末を持たない人は誰も検証できない」
    • Redditでも同様の議論が続いている
      • あるRedditユーザーは、CAPTCHAにQRコードが介入することを拒み、年齢確認やanti-VPNのような監視のための別の手法だと警告した
      • 一部のユーザーは、新しいQRコードreCAPTCHAが詐欺師に偽のQRコード確認や検証フローの模倣といった新たな攻撃経路を与える可能性があると懸念している
      • 「これを設計した連中はセキュリティをまったく考えていない。詐欺師は大喜びするだろう」という結論

関連記事

1件のコメント

 
GN⁺ 4 시간 전
Lobste.rs の意見

  • ユーザー行動のセキュリティの観点では大きな後退に見える
    これで攻撃者は reCaptcha の QR コードを偽装して、ユーザーを好きな場所へ誘導できるようになり、このコードが本物かどうかを確認できる保証も期待もない
    すでに Windows+R を押して何かを貼り付けるよう求める偽の Cloudflare Turnstile ページもあり、ユーザーをどう教育すべきかほぼ不可能に思える

    • 第2要素が携帯電話である 2段階認証 を攻撃するのに都合のよい方式だ
      これで2つの認証要素の両方を、攻撃者が支配する場所へ送れるようになる
    • ひどい
      QR コードをスキャンするには専用の reCaptcha アプリが必要なのかと思ったが、単なる 通常の URL を含む QR コード にすぎない
    • 「これは実際のフィッシングと見分けがつかず、ユーザーが大きな被害を受ける」という形で、組織として反対できそうだ
      ただ、すでに試験導入中なら聞き入れられるかは分からない

  • 最初にこれを見たとき、雑なフィッシングの試みかと思って驚いた
    当時 Tor を使っていたが、Google アカウントに紐づいた携帯電話でコードをスキャンすると、その匿名性が失われかねなかった
    視覚 CAPTCHA に戻すことはできたが、その選択肢も近いうちになくなるのではと心配している
    こうなると 匿名でインターネットを使うこと がずっと難しくなる
    「AI-resistant」という主張もたわごとだ
    QR コードのスキャン工程を自動化することを、本当に想像できないのだろうか

    • まさにそれが目的だ
      最終目標は、汎用コンピューティングに自由にアクセスできるすべてのデバイスを排除し、すべての訪問者の 匿名性を取り除く ことだ
    • もちろん QR コードのスキャン自動化の可能性は分かっているはずだ
      ただ、記事でも述べられているように、この工程は特定のハードウェアの使用を要求し、要点はそのハードウェアを 物理的に証明 できることにある
      その目的は、規模拡大のコストを高くすることだ
      携帯電話がブロックされたら、Docker コンテナを再初期化するのではなく、新しい携帯電話を調達しなければならない
      QR コードが正確にどう動作するのか、安定した識別子を使っているのかは分からない
      TPM カウンターのような、より侵襲性の低い選択肢があるかもしれないし、まったく別の方式かもしれない
      それでも特定のハードウェアを要求する理由は、ハードウェア証明を可能にするためだと思う
      これは web environment integrity proposal と事実上同じ目標を、より面倒なやり方で達成しようとするものだ
      WEI への反発でそのアプローチはいったん止まったが、それが解決しようとしていた シビル攻撃 の問題が消えたわけではなく、無制限のシビル攻撃のコストがほぼゼロなら、現在の形のウェブは根本的に維持できない
      だから今後も何らかの形で解決しようとし続けるだろう

  • Web の閲覧は主にデスクトップかノート PC でしていて、無作為な Web サイトの QR コードを携帯電話でスキャンする気はない
    なら別の場所へ行くだけだ

  • GrapheneOS を使っているが、使い続けられるといいのだが
    銀行アプリに加えて、今や CAPTCHA のためにまで 補助デバイス が必要になりそうで、無駄が大きい

    • むしろ、こうしたものを要求するサービスには、ますます 拒否 と言うことが重要になってきている

  • これがどう動くのか分からない
    自分がどのデバイスでコードをスキャンしているかを、どうやって検証するのだろう
    簡単に偽装できてしまいそうで理解できない

  • 自分はガラケーしか持っていないのだが、ではもう reCaptcha のあるサイト は使えないのか?

  • 技術資本家たちは「投稿パターンからユーザーの匿名性を剥がす」問題を、十分な速さで解決できていないということなのだろうか