Captcha:機能に関するよくある質問

デフォルトの QPS 上限はいくつですか。上限を超えるとどうなりますか。

CAPTCHA は、デフォルトで 1,000 QPS (秒間クエリ数) をサポートします。この上限を超えた呼び出しは、直ちに失敗します。上限を引き上げるには、トラフィックスパイクが発生する前にアカウントマネージャーにご連絡ください。

タイムセールのような高同時実行数シナリオに CAPTCHA はどのように対応しますか。

このサービスは最大 20,000 QPS をサポートします。専用クラスターがリソース隔離によって優先度の高いトラフィックを処理し、ピーク時の同時実行数を維持します。トラフィックが合意した QPS を超えると、インテリジェントな速度制限およびバイパスメカニズムにより、重要なリクエストが損失なく処理されることが保証されます。

大規模なセールイベントの場合は、事前にアカウントマネージャーに連絡して、追加のリソースプランを購入してください。

CAPTCHA はボット攻撃からどのように保護しますか。

CAPTCHA 2.0 は、JavaScript (JS) の難読化と動的検証メカニズムを組み合わせて使用します。この動的レイヤーにより、攻撃者が JS コードをリバースエンジニアリングした場合でも、プロトコルレベルのリプレイ攻撃を防ぐことができます。

ユーザーの行動でトレーニングされた機械学習モデルが、アクセス頻度、デバイスの特徴、行動の異常を分析して人間とボットを区別します。これは、従来のテキストベースの CAPTCHA が持つ OCR 解読の弱点を克服する方法です。

最高レベルの保護を実現するには、コンソールで直接、画像復元検証タイプ (AI 生成コンテンツ、AIGC を利用) を有効にしてください。その複雑なチャレンジ生成により、自動化された攻撃が大幅に困難になります。

CAPTCHA がブロックできる攻撃とできない攻撃の種類

CAPTCHA は、チューリングテストに基づいた人間検証メカニズムです。ボットによる登録、チケットの買い占め、ウェブスクレイピングなどの自動化された脅威を効果的にブロックします。

人間の行動をシミュレートするために多額の投資をしたり、人間を雇ってチャレンジを解決させたりするような攻撃を確実に防ぐことはできません。これらの攻撃から防御するには、ビジネスロジックに統合された多次元的なセキュリティコントロールが必要です。

攻撃を受けているときに CAPTCHA のセキュリティを強化する方法

CAPTCHA コンソールにログインし、関連するシーン ID を選択して、カスタムポリシーを調整します。

• アドバンスト防御モードに切り替える。これにより、より厳格なポリシーが適用され、より広範囲の異常な特徴量がブロックされますが、少数の誤検知が発生する可能性があります。攻撃が収まったら、ベーシックモードに戻してください。

• アクセス頻度のしきい値を設定する。トラフィックと攻撃パターンを分析し、脅威プロファイルに合わせて IP ごとまたはデバイスごとの頻度制限を構成します。

• 追加の検出ルールを有効にする。乗っ取られた CAPTCHA ページやエミュレーターベースのリクエストなど、特定の攻撃ベクターに対するポリシーを構成します。

より強力な検証のためには、画像復元タイプに切り替えてください。そのチャレンジロジックは、他の検証タイプよりも自動化されたバイパスに対して耐性があります。

ベーシックモードとアドバンスト防御モードの違い

ビジネスが攻撃を受けている場合は、アドバンスト防御モードに切り替えてください。攻撃が終了したら、ベーシックモードに戻してください。

検証タイプの選択

CAPTCHA は 5 つの検証タイプを提供します。

コンソールのシーン管理ページで検証タイプを切り替えます。変更は約 5 分以内に有効になります。

最適な互換性を確保するために、No-CAPTCHA を有効にする場合は、専用のシーン ID を使用してください。

No-CAPTCHA を使用すべき場合

No-CAPTCHA は、安全なユーザーに目に見えるチャレンジなしで検証を通過させたい、低リスクのフローに最適です。初期のリスクアセスメントは、デバイスの環境データとページ上のユーザーインタラクションに基づいてサイレントに実行されます。

他のユーザーインタラクションなしでウィジェットを WebView または HTML5 ページに埋め込むアプリ統合には、No-CAPTCHA を使用しないでください。リスクアセスメントはページからの行動シグナルに依存します。WebView に CAPTCHA ウィジェットしか含まれていない場合、収集する行動シグナルがなく、すべての検証試行がブロックされます。

No-CAPTCHA で二次チャレンジがトリガーされる条件

ページがロードされると、初期のリスクアセスメントがデバイス、環境、およびページ上のキーボードやマウスの動作からシグナルを収集します。

リスクスコアがしきい値を超えると、構成したフォールバック検証タイプ (ワンクリック、スライダー、ジグソーパズル、または画像復元) を使用して二次チャレンジが表示されます。特定のしきい値と決定ロジックは、回避を防ぐために公開されていません。

シーン ID とは

シーン ID は、検証シーンを設定する際に作成されるシステム生成の識別子です。そのシーンの CAPTCHA タイプ、セキュリティポリシー、データ統計をリンクし、CAPTCHA 2.0 をアプリケーションに統合するために必要です。

1 つのシーン ID を複数のシナリオで再利用できますか。

はい。ただし、ログイン、登録、パスワード変更など、ビジネスシナリオごとに一意のシーン ID を使用すると、独立したデータ統計が得られ、ユースケースごとに CAPTCHA タイプとセキュリティポリシーを調整できます。

CAPTCHA がサポートする言語数

CAPTCHA はデフォルトで 17 の言語をサポートしています。言語は、language パラメーターを使用して initAliyunCaptcha で設定します。

必要な言語が利用できない場合は、language パラメーターにカスタム言語コードを渡し、myLang オブジェクトにウィジェットのテキストプロンプトの独自の翻訳をキーと値のペアとして提供します。詳細については、「カスタムテキストと多言語設定」をご参照ください。

CAPTCHA ウィジェットのテキストをカスタマイズできますか。

はい。upLang: myLang を渡し、myLang オブジェクトで翻訳を定義します。

ジグソーパズル検証にカスタム背景画像を使用できますか。

はい、ジグソーパズル検証ではカスタム背景画像がサポートされています。これは現在、追加費用なしでバックエンドで構成されます。有効にするには、アカウントマネージャーにご連絡ください。この機能は、将来のリリースで有料オプションとしてコンソールに追加される予定です。その前にアナウンスが行われます。

画像の要件：

画像が多いほど、セキュリティが強化されます。

検証タイプを切り替えるために新しいアプリバージョンをリリースする必要がありますか。

いいえ。コンソールのシーン管理ページで検証タイプを切り替えます。変更は約 5 分以内に有効になります。

統合中にすべての検証タイプとの互換性をテストすることで、さまざまな攻撃シナリオに適応するためにコンソールで自由に切り替えることができます。

テストモードの機能

テストモードでは、CAPTCHA は統合パスが機能しているかどうかのみをチェックします。セキュリティチェックをスキップし、常に成功または常に失敗するように構成されたプリセット結果を返します。これにより、フロントエンドのインタラクションや UI の状態 (失敗したスライダーチャレンジの表示方法など) をテストできます。

テストが完了したら、シーンのステータスを本番に戻してください。変更は約 5 分以内に有効になります。

リソースプランの残高不足アラートを設定する方法

リソースプランは Alibaba Cloud アカウントレベルで管理されます。[課金管理] > [アカウント] > [リソースプラン] に移動して、使用状況の表示と残高不足アラートの構成を行います。

リクエスト量が急増したときに通知を受け取る方法

設定の詳細については、「アラート通知」および「Simple Log Service」をご参照ください。

コンソールの構成変更が適用されるまでの時間

変更は約 5 分以内に有効になります。