reCAPTCHA バージョン2 対 バージョン3: 開発者が知っておくべき重要な違い

TL;DR

• reCAPTCHA v2はユーザーに可視のパズル（チェックボックスまたは画像グリッド）を提示します。v3はバックグラウンドで静かに動作し、リスクスコアを返します。
• reCAPTCHA v2とv3の核心的な違いはユーザーの干渉です。v2はユーザーのフローを中断しますが、v3は中断しません。
• v3スコアは0.0（おそらくボット）から1.0（おそらく人間）の範囲で、スコアの処理はあなたのサーバーが決定します。
• v2は実装やデバッグが簡単ですが、v3はサーバーサイドのスコア処理としきい値の調整が必要です。
• どちらのバージョンも万能ではありません。適切な選択はサイトのリスク許容度とUXの要件に依存します。
• reCAPTCHA v2またはv3にインタラクティブな自動ワークフローを使用する場合、CapSolverのAPIを活用してCAPTCHAチャレンジをプログラムで処理できます。

イントロダクション

ウェブフォーム、ログインページ、チェックアウトフローを構築したことがある人は、ほぼ間違いなくreCAPTCHAに遭遇したことがあります。GoogleのreCAPTCHAは、インターネット上の何百万ものサイトを自動化された攻撃から保護する、最も広く導入されているCAPTCHAシステムです。しかし、reCAPTCHA v2とv3の違いはバージョン番号以上のものです。この2つのシステムは根本的に異なる原理に基づいており、UXの目的も異なり、実装戦略も異なります。

この記事では、reCAPTCHA v2とreCAPTCHA v3をシンプルな技術的な用語で比較します。それぞれのバージョンが何を行うのか、裏でどのように動作するのか、どちらをいつ使うべきか、そして自動化やデータパイプラインを構築する開発者が理解すべき点について説明します。

reCAPTCHAとは何か？簡単な背景

reCAPTCHAは、Googleが提供する無料のサービスで、人間のユーザーと自動化されたボットを区別するためのものです。2009年にカーネギー・メロン大学から買収され、それ以来いくつかの主要なバージョンに進化してきました。

Googleの公式reCAPTCHAドキュメントによると、現在の有効なバージョンはv2（2つのサブタイプあり）とv3で、それぞれセキュリティとユーザー体験のバランスを異なる方法でターゲットにしています。4番目の層であるreCAPTCHA Enterpriseは、v3を基盤として、追加のリスク信号を提供し、大規模な商用展開を目的としています。

reCAPTCHA v2とv3の違いを理解するには、それぞれのバージョンが解決しようとした問題を理解することが不可欠です。

reCAPTCHA v2: 明確なチャレンジ、直接的な検証

reCAPTCHA v2は、最も多くのユーザーが認識しているバージョンです。フォームの送信前に明確なチャレンジを提示します。

reCAPTCHA v2の動作方法

reCAPTCHA v2で保護されたページにユーザーがアクセスすると、ウィジェットが読み込まれ、マウスの動き、ブラウジング履歴、クッキーなどの非表示のシグナルを分析します。システムがユーザーが人間であることを確信できる場合、自動的に通過させます。そうでない場合は、チャレンジを提示します。

reCAPTCHA v2には2つのサブタイプがあります：

1. チェックボックス（「私はロボットではありません」）
ユーザーはチェックボックスをクリックします。非表示のシグナルが不十分な場合、画像グリッドのチャレンジが表示されます（例：「すべての信号機を選択してください」）。これはreCAPTCHA v2で最も認識されている形態です。

2. インビジブルreCAPTCHA v2
チェックボックスは表示されません。ユーザーがフォームを送信するときに自動的にチャレンジがトリガーされます。リスクスコアが低すぎる場合、視覚的なチャレンジが表示されます。このバリアントは、v2のチャレンジメカニズムを維持しながら、干渉を減らします。

reCAPTCHA v2の主な特徴

v2チャレンジに成功したことで生成されたトークンは、あなたのサーバーに送信され、Googleのsiteverify APIで検証されます。応答は2値です：有効または無効。スコアは存在しません。

reCAPTCHA v3: サイレントスコアリング、ユーザーの中断なし

reCAPTCHA v3は完全に異なるアプローチを採用しています。ユーザーにチャレンジを表示することはありません。代わりに、継続的にバックグラウンドで動作し、行動シグナルを収集して、0.0から1.0のリスクスコアを返します。

reCAPTCHA v3の動作方法

reCAPTCHA v3スクリプトを監視したいすべてのページに埋め込みます。スクリプトはシグナルを収集します（インタラクションパターン、タイミング、デバイスの指紋）。grecaptcha.execute()を呼び出すと、トークンが返されます。あなたのサーバーはそのトークンをGoogleのsiteverifyエンドポイントに送信し、以下のようなJSON応答を受け取ります：

• スコア（0.0–1.0）
• アクションラベル（あなたが定義するもの、例：login、checkout）
• ホスト名とタイムスタンプ

GoogleのreCAPTCHA v3ドキュメントによると、スコアのデフォルト推奨しきい値は0.5ですが、Googleは明確に、このしきい値を自社のトラフィックデータに基づいて調整するよう述べています。

スコアの意味

スコアは通過/失敗の判断ではありません。リスクのシグナルです。あなたのアプリケーションが何をするかを決定します：

• スコア ≥ 0.7: おそらく人間 — アクションを許可
• スコア 0.3–0.7: 不確実 — 認証の強化（メールOTP、SMSなど）を検討
• スコア < 0.3: おそらく自動化されたもの — ブロックまたはレビュー用にフラグを立てる

この柔軟性は強力ですが、reCAPTCHA v3はv2よりも多くのサーバーサイドロジックを必要とします。

reCAPTCHA v2とv3: 直接比較

実装の決定において最も重要な次元に基づいた、2つのバージョンの構造化比較です。

reCAPTCHA v2とv3の核心的な違いは、判断がどこで行われるかです。v2ではGoogleが判断し、必要に応じてチャレンジを提示します。v3では、Googleがシグナルを提供し、あなたのアプリケーションが判断します。

reCAPTCHA v2を使用すべきタイミング

reCAPTCHA v2は以下のような場合に適しています：

• 明確で検証可能な通過/失敗のゲートが必要（例：アカウント登録、パスワードリセット）
• ユーザーがたまにチャレンジに遭遇することに慣れている
• サーバーサイドロジックを最小限にしたい
• 単一の高価値なアクションを保護したい（サイト全体の行動モニタリングではない）
• v3スコアリングに失敗したユーザー用のフォールバックメカニズムが必要

チェックボックスバージョンは、ユーザーがすでにフィールドを入力しているフォームに特に適しています。この文脈では、CAPTCHAチャレンジの追加の干渉が少ないです。

reCAPTCHA v3を使用すべきタイミング

reCAPTCHA v3は以下のような場合に適しています：

• ユーザー体験が最優先でフローを中断できない
• 複数のページやアクションでリスクを同時にモニタリングしたい
• スコアに基づく判断を処理するサーバーサイドインフラストラクチャを持っている
• 応答を決定する前にリスクデータを収集したい（例：シャドーバン vs ハードブロック）
• 低リスクユーザーに無干渉体験を提供する段階的なセキュリティモデルを構築したい

多くのプロダクションシステムでは、reCAPTCHA v3を最初の層として使用し、スコアがしきい値を下回った場合にreCAPTCHA v2にフォールバックします。このハイブリッドアプローチは、GoogleのreCAPTCHA FAQで明確に推奨されています。

一般的な実装ミス

reCAPTCHA v2とv3の理解は、開発者がどこでミスをするかを知ることも含まれます。

ミス1: 調整なしで固定されたv3のしきい値を使用する
Googleのデフォルトの0.5は基準点であり、万能なルールではありません。異常なトラフィックパターンを持つサイト（例：モバイル利用が多かったり、国際的なオーディエンスを持つ）は、大幅に調整する必要があります。

ミス2: v3をv2の即席の代替として扱う
これらは異なる問題を解決します。高リスクフォームでv2をv3に置き換える際、サーバーサイドのスコア処理を追加しないとセキュリティのギャップが生じます。

ミス3: アクションラベルの検証を忘れる
reCAPTCHA v3トークンには、あなたが定義したアクション名が含まれます。アクションが期待したものと一致しているかを検証しないと、あるページで生成されたトークンが別のページで再利用される可能性があります。

ミス4: トークンをキャッシュまたは再利用する
v2とv3のトークンは1回限りで、2分後に期限切れになります。トークンを再利用すると、常に検証に失敗します。

自動化ワークフローにおけるreCAPTCHA: 開発者が知るべきこと

ウェブスクレイパー、自動テストスイート、RPAパイプライン、データ収集ツールを構築する開発者は、ターゲットサイトでreCAPTCHA v2とv3を頻繁に遭遇します。両方のバージョンは、非人間的なインタラクションパターンを検出することを目的としているため、標準的な自動化フレームワークはよくチャレンジをトリガーしたり、低いv3スコアを取得したりします。

正当な自動化の使用ケース—例えば、自社ウェブアプリケーションの自動テスト、市場調査のためのウェブスクレイピング、SEOランクトラッキングなど—に対して、CapSolverはreCAPTCHA v2とv3のトークン生成をプログラムで処理するためのAPIを提供しています。

CapSolverはAI駆動の認識技術を使用して、ターゲットサイトの検証エンドポイントに送信可能な有効なトークンを返します。これは、reCAPTCHA v2チャレンジを解決するまたはreCAPTCHA v3スコア要件を処理する必要がある自動化パイプラインにおいて特に役立ちます。

reCAPTCHA v2のCapSolver APIとの基本的な統合は以下の通りです（CapSolverの公式ドキュメントからのPython例）：

import capsolver

capsolver.api_key = "YOUR_API_KEY"

solution = capsolver.solve({
    "type": "ReCaptchaV2Task",
    "websiteURL": "https://example.com",
    "websiteKey": "YOUR_SITE_KEY",
})

print(solution["gRecaptchaResponse"])

reCAPTCHA v3の場合、タスクタイプはReCaptchaV3Taskに変更され、ターゲットページで定義されたpageActionパラメータを指定します。常に自動化の使用ケースがターゲットサイトの利用規約と適用可能なデータ規制に準拠していることを確認してください。

CapSolverのボーナスコードを引き換える

自動化予算を即座に増やす！
CapSolverアカウントにチャージする際、ボーナスコード CAP26 を使用すると、毎回 5%のボーナス が追加されます — 制限なし。
今すぐCapSolverダッシュボードで引き換える

reCAPTCHA v2とv3: どちらがよりセキュア？

これはよくある質問で、答えは複雑です。

reCAPTCHA v2はより厳しいゲートウェイを提供します — ボットは進むために視覚的または音声チャレンジを解決する必要があります。これは単純なスクリプト攻撃に対してより耐性があります。しかし、これは正当なユーザーにとってもより中断的であり、専門的なサービスによって解決される可能性があります。

reCAPTCHA v3は広範なカバレッジを提供します — 一度のフォーム送信ポイントだけでなく、全体のセッションを通じて行動をモニタリングします。v2チャレンジを一度通過した高度なボットは、v3で保護されたサイトでは常に人間のような行動を維持する必要があります。

実際には、USENIX Security 2023のセキュリティ研究者によると、適切に調整された行動ベースのCAPTCHAシステム（v3）は、大規模な自動化攻撃に対してより効果的ですが、人間の行動パターンを模倣する対象的な攻撃に対してはより脆弱です。

最も堅牢な展開では、両方を併用します。v3でパッシブモニタリングを行い、スコアが許容しきい値を下回った場合にv2をステップアップチャレンジとして使用します。

結論

reCAPTCHA v2とv3の違いは、どちらのバージョンが新しいか、より良いかではなく、どちらのモデルがあなたのセキュリティアーキテクチャに合致するかです。reCAPTCHA v2はユーザーに見えるチャレンジを持つ明確な2値ゲートを提供します。reCAPTCHA v3はユーザーの中断なしで継続的なリスクシグナルを提供し、より高度なサーバーサイド処理を必要とします。

ほとんどのプロダクションアプリケーションでは、reCAPTCHA v2とv3の選択ではなく、両方を組み合わせて使用することになります。v3でモニタリングとスコアリングを行い、リスクシグナルがより厳しいチャレンジを必要とするときにv2にフォールバックします。

どちらのバージョンにもインタラクティブな自動化ツールを構築している場合—テスト、データ収集、ワークフロー自動化のために—CapSolverのAPIはreCAPTCHA v2とv3のタスクタイプをサポートし、高速な応答時間と直感的な統合を提供しています。完全なドキュメントはcapsolver.comで確認できます。

FAQ

Q1: reCAPTCHA v3をフォールバックなしで使用できますか？
はい、可能です。しかし、高リスクアクションには推奨されません。フォールバックがない場合、スコアが低いユーザーは静かにブロックまたはフラグが立たれ、人間であることを証明する手段がありません。v2のフォールバックは正当なユーザーに進む道を提供します。

Q2: reCAPTCHA v3はウェブサイトの速度に影響しますか？
reCAPTCHA v3スクリプトは、読み込まれるページに小さなJavaScriptを追加します。Googleはスクリプトサイズを約35KBと報告しています。ほとんどのサイトではパフォーマンスへの影響は無視できる程度ですが、ロード時間が重要なページでは測定する価値があります。

Q3: reCAPTCHA v2インビジブルとreCAPTCHA v3の違いは？
どちらも必要に応じてチャレンジを表示しないようにしますが、動作方法は異なります。reCAPTCHA v2インビジブルは still v2チャレンジメカニズムを使用します — 非表示シグナルが不十分な場合、画像グリッドが表示されます。reCAPTCHA v3はチャレンジを一切表示せず、スコアのみを返します。スコアが低い場合の対応は、あなたのアプリケーションに完全に委ねられます。

Q4: どのv3スコアしきい値を選べば良いですか？
Googleの推奨しきい値である0.5から始め、1〜2週間のトラフィックデータを分析してください。既知の良いユーザー（ログイン済み、確認済みアカウント）と匿名トラフィックのスコア分布を確認し、特定のユーザー層で偽陽性を最小限に抑えるようにしきい値を調整してください。

Q5: reCAPTCHA v3はGDPR準拠ですか？
reCAPTCHA v3は行動データを収集し、Googleのサーバーに送信するため、GDPRの下でのデータプライバシーの懸念があります。プライバシーポリシーでreCAPTCHAの使用を明示し、あなたの管轄区域によっては、スクリプトを読み込む前にユーザーの同意を取得する必要がある場合があります。あなたの展開に特化したガイダンスを求めるために、あなたの法務チームに相談してください。