reCAPTCHAの次なる進化形：Google Cloudの次世代不正アクセス対策がすごい

Google Cloudが提供する不正アクセス防御機能が、reCAPTCHAの進化版として注目を集めています。従来の認証プロセスを超え、よりシームレスかつ強力にボットや不正攻撃をブロックする新次元のセキュリティ対策が登場しました。

「人間であること」を証明するのにモバイルデバイスが必須になったってことは、Googleがもうデスクトップやオープンなプラットフォームを信用してないってことだな。

モバイルデバイスの要件はここに載ってるよ：https://support.google.com/recaptcha/answer/16609652

つまり今後は、Google Play開発者サービスが入った最近のAndroidか、最新のiPhone/iPadがないとウェブブラウジングすらできなくなるってことか。デバイスの整合性検証についてはまだ言及がないけど、雲行きは怪しいね。

スマホの使用時間を減らそうとしてるんだよね。理想を言えばガラケーに乗り換えたいくらいなのに。でも、もしあらゆるウェブサイトで認定スマホによるQRコードスキャンが必要になったら、そんなのほぼ不可能になるな。

買い物するのにQRコードをスキャンしろなんて要求してくる企業は、私の客としての資格を失うよ。

タイミング良すぎだろ。ここ一週間、URLバーから検索するたびにCAPTCHAに追われまくってたから、さっきDuckDuckGoに全部切り替えたところだよ。Googleさん、いい仕事してるね！

このQRコード機能、みんなが慣れてきたらPegasus（スパイウェア）を仕込む手法として悪用されそう。

真面目な質問なんだけど、スマホ（スマートなやつ）を持ってない人はどうなるの？

QRコードベースの認証を不正対策の画期的な方法として推してるのが信じられない。人間には内容が読み取れないデータを入力させるなんて危険すぎる。もしQRコードにゼロデイのURLが仕込まれてたら、それだけでおしまいだよ。

追記：今やQRコードがどこにでもあるのは知ってるけど、盲目的にスキャンしてURLにアクセスするのは、ネットからダウンロードしたバイナリをそのまま実行するのと同じくらい危険。

追記2：まあcurl $URL | bashでインストールする手法も本質的には同じだし、いつの間にか一般化しちゃったけどさ。

reCAPTCHAはもう難易度が高すぎて、視覚的なパズルが解けないことがよくあるんだ。しかもGoogleはVPN環境での音声チャレンジをブロックし始めてるし（これ視覚障害の人には最悪だよ）、音声チャレンジ自体も超難しくなってる。

Google Geminiなら解けるだろうけど、もっと低性能なAIでもすぐ解けるようになると思うよ。

俺はLineageOSでmicroGを使ってるからこの電話認証は通らないだろうけど、不正を働く連中なら30ドルのAndroid端末を大量に買えば済む話だろ。スマホの操作が苦手でガラケーを使ってる人も締め出されるし、そもそもスマホを必要性を感じなくて持っていない人もたくさんいるのにね。

うわあ。つまり今後はウェブを見るためにモバイルデバイスが必要で、Googleはその識別子を使って個人の匿名性を剥がしに来るってわけか。競合する検索エンジンの利用を少しでも不便にしようって意図も透けて見えるね。どうせ収集したユーザーデータも、他の広告プラットフォームには渡さず自分たちに有利に使うんだろう。

それに注文するたびにQRコードをスキャンしろなんて例も馬鹿げてる。そのうちビザの申請書まで提出しろとか言い出すんじゃないの？