よくある質問

reCAPTCHA の使用中に発生する可能性のある一般的な問題や質問について学びます。

実装

reCAPTCHA はグローバルに使用できますか?

はい。ユーザーが www.google.com にアクセスできない場合は、フロントエンド コードで www.recaptcha.net を使用できます。

  • まず、<script src="https://www.google.com/recaptcha/enterprise.js?render=<SITE_KEY>"></script><script src="https://www.recaptcha.net/recaptcha/enterprise.js?render=<SITE_KEY>"></script> に置き換えて、<SITE_KEY> の代わりにサイトキーを使用します。
  • その後、サイト上で他のすべての www.google.com/recaptcha/ を使用する場所に同じ方法を適用します。

reCAPTCHA は Cookie を使用しますか?

reCAPTCHA は、リスク分析を行うために実行された際に、必要な Cookie(_GRECAPTCHA)を設定します。他の Cookie が設定されている可能性がある www.google.com ドメインを使用することを回避する場合は、代わりに www.recaptcha.net を使用できます。

reCAPTCHA バッジを非表示にしたいのですが、どうすればよいですか?

ユーザーフローに、reCAPTCHA を使用してサイトを保護していることと、「Google の利用規約とプライバシー ポリシーが適用される」ことを明示しているのであれば、バッジを非表示にできます。次のテキストを含めてください。

This site is protected by reCAPTCHA and the Google
<a href="https://policies.google.com/privacy">Privacy Policy</a> and
<a href="https://policies.google.com/terms">Terms of Service</a> apply.

次に例を示します。

プライバシーと利用規約のリンクの例

reCAPTCHA のウィジェットかバッジをカスタマイズできますか?

はい。reCAPTCHA にはライトモードとダークモードがあります。テーマを選択するには、grecaptcha.enterprise.render パラメータdata-theme 属性を設定します。

  • ライトモード:
    ライトモードの reCAPTCHA ウィジェットまたはバッジ

  • ダークモード:
    ダークモードの reCAPTCHA ウィジェットまたはバッジ

ウェブサイトで Content-Security-Policy(CSP)を使用しています。reCAPTCHA と連携するように構成するにはどうすればよいですか?

CSP3 で文書化されているアプローチを使用することをおすすめします。1 回のみ使用できる番号を reCAPTCHA の api.js スクリプトタグに含めてください。残りの処理は Google が行います。

または、次の値をディレクティブに追加します。

  • script-src https://www.google.com/recaptcha/, https://www.gstatic.com/recaptcha/
  • frame-src https://www.google.com/recaptcha/, https://recaptcha.google.com/recaptcha/
  • connect-src https://www.google.com/recaptcha/

Google Cloud コンソールの「ドメインの確認」リストに追加できるドメイン数はどのくらいですか?

キーあたりのドメイン数の上限は 250 です。

250 を超えるドメインでキーを使用するには、ウェブサイトのキーを作成するをご覧ください。

reCAPTCHA のクラウド API を正式にサポートせず、以前の reCAPTCHA API siteverify のみをサポートしているサードパーティのプラグイン実装を使用しています。reCAPTCHA を引き続き使用できますか?

はい。以前の秘密鍵は Google Cloud コンソールで確認できます。以前の秘密鍵を見つける方法については、以前の reCAPTCHA 秘密鍵を見つけるをご覧ください。

サイトのデバッグ時に reCAPTCHA コードを使用しないようにするにはどうすればよいですか?

サイト上の他の JavaScript のデバッグ中に reCAPTCHA コードにステップインしないようにするには、ブラウザの無視リストに reCAPTCHA スクリプト /recaptcha__.+\.js$ を追加します。Chrome の手順については、スクリプトのカスタムリストを無視するをご覧ください。他のブラウザでも同様の機能を利用できます。

iOS 10 でのみ、ユーザーがチャレンジを完了するとページが一番下までスクロールするのはなぜですか?

これは、Apple に報告済みのフォーカス バグです。この問題は iOS 10 の一部のサイトでのみ発生します。この問題の影響を受ける場合は、reCAPTCHA ウィジェットをページの上部または下部に移動することで回避できます。

用途

reCAPTCHA の使用にはレート制限がありますか?

はい。割り当てと上限をご覧ください。

reCAPTCHA ダッシュボードでは、どのタイムゾーンが使用されますか?これは変更できますか?

このタイムゾーンは、ブラウザのクライアント タイムゾーンに基づきます。現時点では変更できません。

reCAPTCHA から返されるスコアの品質を測定するにはどうすればよいですか?

最終的には、ユースケースと必要な結果に応じて手法は異なります。通常は、ユーザーの行動に関する独自の内部指標を使用して、次のような観点から、スコアが正確であったかどうかを判断することをおすすめします。

  • パスワードを再設定して高スコアを付けられたユーザーが、後でアカウントがハイジャックされたと報告したか?
  • 低スコアでログインしたユーザーが他のユーザーにスパムを送信するようになったか?
  • ログインに失敗して低スコアを付けられたユーザーが、複数の異なるユーザー名でのログインを試行するようになったか?

ウェブサイトのトラフィックに関する詳細を確認するにはどうすればよいですか?

詳細は、Google Cloud コンソールの [reCAPTCHA] ページで確認できます。

reCAPTCHA で自動テストを実行したい場合に、必要な対策はありますか?

テスト用の reCAPTCHA サイトキーを作成するには、Google Cloud CLI を使用します。詳しくは、recaptcha keys create reference ページの --testing-challenge オプションと --testing-score オプションをご覧ください。

  • 常に「キャプチャなし」(チャレンジなし)と「1.0」を返すチェックボックスのサイトキーを作成する(下記の --domains--display-name を変更してください)。
gcloud recaptcha keys create --testing-challenge=nocaptcha --testing-score=1.0 --web --domains="domain1.com,domain2.com" --display-name="Always No CAPTCHA" --integration-type=checkbox
  • 常に解決できないチャレンジを返すチェックボックス サイトキーを作成する(下記の --domains--display-name を変更してください)。
gcloud recaptcha keys create --testing-score=0.0 --testing-challenge=challenge --web --domains="domain1.com,domain2.com" --display-name="Unsolvable Challenge" --integration-type=checkbox
  • 設定したスコアを常に返すスコアベースのサイトキーを作成する(下記の--domains--display-name--testing-score を変更してください)。
gcloud recaptcha keys create --testing-score=1.0 --web --domains="domain1.com,domain2.com" --display-name="Always 1" --integration-type=score

reCAPTCHA REST API と通信する必要があります。レスポンス フォーマットは将来変更されないものと想定できますか?

Google のサービスが進化するにつれ、API への新しいフィールドの追加などの、互換性を損なわない変更が適用される可能性があります。JSON を使用する場合は、API の今後の追加機能との互換性を維持するために、レスポンスの形式を厳密に検証しないでください。

従来の reCAPTCHA キーを作成する方法を教えてください。

reCAPTCHA では、クラシック キーの新規作成はサポートされていません。既存のクラシック キーがある場合は、reCAPTCHA Classic から移行することをおすすめします。すべての Google Cloud reCAPTCHA のお客様は、毎月 10,000 件の評価を無料で作成できます。使用量と料金の詳細については、reCAPTCHA の料金をご覧ください。

データ処理

どのセッション データが reCAPTCHA によって収集され、Google はどのように保護しますか?

reCAPTCHA によって収集されたデータと、Google がデータを保護するために講じる対策については、Cloud のデータ処理に関する追加条項reCAPTCHA サービス固有の規約をご覧ください。

Google がデータを保護する方法について詳しくは、セキュリティのホワイト ペーパーをご覧ください。

reCAPTCHA は GDPR に準拠していますか?

はい。Google は Google Cloudにおいて、お客様の個人データのセキュリティとプライバシーを優先順位付けして改善するイニシアチブを支持しており、reCAPTCHA のお客様は、GDPR の要件に照らして Google のサービスを安心して使用できるよう努めていますGoogle は、reCAPTCHA を含むすべての Google Cloud サービスでのお客様の個人データの処理に関して、GDPR を遵守するために Cloud のデータ処理に関する追加条項を遵守しています。

reCAPTCHA 固有の追加利用規約については、reCAPTCHA サービス固有の規約をご覧ください。

支払いトランザクション情報は reCAPTCHA によって収集されますか?

支払いトランザクション ページに reCAPTCHA をインストールすると、自動化された攻撃から保護するために特定のトランザクション シグナルが検査されます。たとえば、同じ価格で 1 秒間に何度も購入を試みるといった行為は、場合によっては攻撃である可能性があります。

ただし、bot は不正行為全体の問題点のほんの一部にすぎません。より包括的に保護するために、reCAPTCHA Fraud Prevention と統合すると、より詳細なトランザクション情報を送信することで、カードテストや決済手段不正利用などの不正行為に対する審査を受けることができます。

ハンド ジェスチャーの確認

データの収集と保存

ハンド ジェスチャーが有効になっている場合、reCAPTCHA によってどのようなデータが収集されますか?

  • Google は、ユーザーがさまざまなアクションやジェスチャーを行う手の動画を 1 つ以上分析します。動画が処理され、21 個の手の関節の座標 を含む手のランドマーク データが抽出されます。
  • 動画はユーザーの身元と関連付けられることはなく、確認プロセスの後に削除されます。音声は録音されません。

ハンド ジェスチャーが有効になっている場合、reCAPTCHA によってどのような追加データが保存されますか?

  • Google が、本人確認プロセス以外の目的で、ユーザーの手のジェスチャーの画像や動画を保持したり、そのデータを使用したりすることはありません。チャレンジが完了すると、動画や画像は自動的に削除されます。
  • Google が収集した情報は、 Google プライバシー ポリシー に従って使用および保存されます。

権限

ユーザーの同意を得てカメラの権限を取得するのは、Google アプリですか、サードパーティ製アプリですか?

手のジェスチャー チャレンジでは、ユーザーのカメラにアクセスする権限が必要です。ユーザーがハンドジェスチャーの実行に同意すると、Google はカメラの権限を取得します。ユーザーはいつでもブラウザの設定で権限を管理できます。Google は、セキュリティ検証のみを目的として手のジェスチャーの動画を処理し、関連するデータや権限を第三者に転送することはありません。

ユーザー補助に関する問題

ユーザー補助機能に問題があるユーザーは、ハンドジェスチャーをどのように使用できますか?

ユーザー補助機能に問題があり、ハンドジェスチャーで本人確認できないユーザーに対して、reCAPTCHA は引き続き視覚と音声によるチャレンジを提供し、よりアクセシブルで安全な代替チャレンジを開発していきます。