iPhone、iPad、または Mac でアプリや Web サイトの CAPTCHA を自動的にバイパスする方法

人間の CAPTCHA 認証で画像を照合したり、文字を入力したりするのが嫌いな場合は、Apple の iOS、iPadOS、macOS 用の最新ソフトウェア アップデートを気に入っていただけるでしょう。

通常、CAPTCHA はモバイル デバイス上で大きな悪夢となる可能性があります。これらは、セキュリティ目的、ボットの検出、積極的なサービス拒否攻撃の防止、その他のサーバーの保護のために Web サイトで使用されますが、最終的にはユーザーを煩わせることになります。

• これにより、ログインまたはタスクの完了に別の手順が追加されるため、ユーザーの速度が低下します。Cloudflare は、平均的なユーザーが CAPTCHA テストを完了するのに 32 秒かかると推定しています。
• ボート、信号機、自転車などを一致させるのが難しくなる悪い画像が作成される可能性があります。
• 単語は、正しい文字を選択できないほど混同されることがあります。
• 操作に必要なデータのレンダリングにより、余分な帯域幅が消費されます。
• これは、アクセシビリティの問題があるユーザーにはうまく機能しません。
• IP アドレスやその他の個人データを追跡できます。

新しい iOS 16、iPadOS 16、および macOS 13 Ventura アップデートで、Apple は CAPTCHA 検証をバイパスできる新しいセキュリティ機能を実装しました。これは、iCloud とプライベート アクセス トークン (PAT) を使用して行われ、デバイスが HTTP リクエストを行っていることを確認します。さらに、あなたの身元を明らかにしたり、IP アドレスなどの個人データを共有したりすることはありません。

iOS 15 の CAPTCHA (左) と iOS 16 のプライバシー トークン (右)。Apple経由の画像

Web サイトまたはアプリケーションに PAT を実装するには、そのサーバーが信頼できるトークン発行者のホスト名と公開キーを持っている必要があります。これには、Cloudflare や Fastly などのコンテンツ配信ネットワーク (CDN)、Web ホスティングプロバイダー、または CAPTCHA プロバイダーが含まれます。Fastly は、サイト所有者は PAT を有効にする必要があるが、Cloudflare 顧客の場合、これは自動的に行われると指摘しています。

この情報は、「PrivateToken」呼び出しの形式でユーザーに送信されます。この新しい HTTP 認証スキームは、RSA ブラインド署名を使用して、デバイスが構成証明の検証に合格したことをサーバーに暗号的に確認します。

これらの署名は「リンク不可」です。つまり、トークンを受信するサーバーはその有効性を検証することしかできず、時間が経つとクライアントの ID を検出したり、クライアントを認識したりすることはできなくなります。

プライベート アクセス トークンは、Appleと Google を含む Internet Engineering Task Force (IETF) によって開発されているPrivacy Passと呼ばれるより広範な認証標準の一部であるため、Apple デバイスだけを対象としたものではありません。現在、Apple が取り組んでいる CDN は Cloudflare と Fastly だけですが、Web 上で CDN を広く普及させるために他の企業と協力しています。

Apple の iOS 16、iPadOS 16、および macOS 13 ソフトウェアは現在ベータ版ですが、この新機能を他の多くの新機能とともにテストしたい場合は、ベータ版に参加できます。ベータ版の実行中にバグ、バッテリー寿命の減少、その他の不具合が発生する可能性がありますが、必要に応じていつでもダウングレードできます。

この機能はデフォルトで有効になっていますが、有効になっているかどうかを再確認できます。iOS および iPadOS 16 では、[設定] -> [あなたの名前] -> [パスワードとセキュリティ] -> [自動検証] に移動します。macOS 13 では、[設定] -> [Apple ID] -> [パスワードとセキュリティ] -> [自動検証] に移動します。