GeeTest CAPTCHA v4
と CapMonster Cloud

CAPTCHA の解決、サイトへの実装、そしてテストについて。

キャプチャや防御機構が導入済みのサイトを引き継いだのに、ソースコードへアクセスできない？その場合、どの仕組みが入っているのか、設定は正しいのか、どう検証するのかが気になります。

この記事では、よくある疑問にできるだけお答えしました。まず最初のステップは、どのような保護システムが使われているかを特定することです。そのために、代表的なキャプチャやボット対策システムの一覧を参照できます。ここには、どの仕組みが使われているかを素早く見分けるための画面イメージや主な特徴がまとめられています。

もしサイトで GeeTest CAPTCHA v4 が使われていることが分かったら、次のステップはその特徴と動作をより詳しく確認することです。同じこの記事の中で、GeeTest CAPTCHA v4 をサイトに導入するための手順書も確認できるので、あなたのサイト上でどのように機能しているのかをしっかり理解できます。これにより、現在の保護を正しく把握できるだけでなく、今後の運用や保守も計画的に行えるようになります。

GeeTest CAPTCHA v4 とは何か

GeeTest CAPTCHA v4（Adaptive CAPTCHA/Behavior Verification） は、v3 と比べてより新しいバージョンで、ウェブサイトを自動化された悪意のある操作から保護するために設計された仕組みです。システムはサイト訪問者の行動やデバイスの特徴を追跡し、それに応じて最適なチャレンジを出題します。正規のユーザーであれば、CAPTCHA ウィジェットを 1 回クリックするだけの非常に簡単な確認で済みますが、自動化が疑われる場合は、通過する必要があるより複雑なチャレンジが表示されます。

GeeTest CAPTCHA v4 の例

No CAPTCHA

ユーザーの判定は、主にサイト上での行動やインタラクションに基づいて行われ、明示的なタスクを解かなくてもよい場合があります。

Icon CAPTCHA

指定された順番で画像を選択するチャレンジ。

IconCrush CAPTCHA

要素を入れ替えて、同じアイコンを3つ一列に並べる（いわゆる「マッチ3」系パズルのような動作）。

Slide CAPTCHA

スライダーを操作してパズルを完成させたり、画像の要素を一致させたりするチャレンジ。

Gobang CAPTCHA

スライダーを操作してパズルを完成させたり、画像の要素を一致させたりするチャレンジ。

CapMonster Cloud で GeeTest CAPTCHA v4 を解決する方法

GeeTest CAPTCHA v4 を含むフォームをテストする際は、キャプチャが正しく組み込まれ機能しているか確認する必要があります。

サイトに埋め込まれたキャプチャを手動で確認する方法

フォームのページを開き、キャプチャが表示されることを確かめます。
解決せずにフォーム送信を試みると、サーバーはエラーを返すはずです。
正しく解決した後は、問題なく送信できる必要があります。

自動解決には CapMonster Cloud のようなツールを使うと便利です。キャプチャのパラメータを送信すると、サーバー側で処理して利用可能なトークンを返してくれます。そのトークンをフォームに挿入すれば、ユーザー操作なしでチェックを通過できます。

CapMonster Cloud API を使った一般的な手順:

タスクの作成

この段階では、API キー、CAPTCHA の種類、およびそのパラメータを送信します。サービスは一意の taskId を返し、後からこの ID を使って解決結果を取得できます。

API リクエストの送信

GeeTest CAPTCHA v4 を解決するリクエストには、次のパラメータを指定する必要があります。

type - GeeTestTask;

websiteURL - CAPTCHA が表示・解決されるページの URL;

gt - ドメイン用の GeeTest 識別キー — パラメータ captcha_id;

version - 4;

geetestApiServerSubdomain - GeeTest API サーバーのサブドメイン（api.geetest.com 以外である必要があります）;

geetestGetLib - ページ上に CAPTCHA を表示するためのスクリプトパス。一部のサイトでは必須になる場合があります;

initParameters - v4 で使用される追加パラメータ。CAPTCHA の種類・検証方法を表す “riskType” と組み合わせて利用します.

パラメータや自動取得の方法については、CapMonster Cloud ドキュメントで詳しく説明しています。

タスク送信先のエンドポイント:

https://api.capmonster.cloud/createTask

リクエスト例:

{
  "clientKey": "YOUR_CAPMONSTER_CLOUD_API_KEY",
  "task": {
    "type": "GeeTestTask",
    "websiteURL": "https://gt4.geetest.com/",
    "gt": "54088bb07d2df3c46b79f80300b0abbe",
    "version": 4,
    "initParameters": {
      "riskType": "slide"
    }
  }
}

レスポンス:

{
  "errorId":0,
  "taskId":407533072
}

結果の受信

タスク作成後は解決状況を定期的に確認してください。

結果を受け取るためのアドレス：

https://api.capmonster.cloud/getTaskResult

リクエスト例:

{
  "clientKey":"API_KEY",
  "taskId": 407533072
}

レスポンス:

{
  "errorId": 0,
  "status": "ready",
  "solution": {
    "captcha_id": "f5c2ad5a8a3cf37192d8b9c039950f79",
    "lot_number": "bcb2c6ce2f8e4e9da74f2c1fa63bd713",
    "pass_token": "edc7a17716535a5ae624ef4707cb6e7e478dc557608b068d202682c8297695cf",
    "gen_time": "1683794919",
    "captcha_output": "XwmTZEJCJEnRIJBlvtEAZ662T...[cut]...SQ3fX-MyoYOVDMDXWSRQig56"
  }
}

トークンをページへ適用

サーバーから CAPTCHA 解決結果（seccode の内容）を取得したら、その値をサイト側に送信する必要があります。サーバーはこれらのデータを検証し、CAPTCHA が正しく通過したことを確認します。自動化する場合は HTTP リクエストを使うか、Puppeteer、Selenium、Playwright などのツールを利用できます。これらを使うことで、フォームへの値の挿入と送信を行い、ユーザー操作をエミュレートできます。

既製ライブラリを使った GeeTest CAPTCHA v4 の認識

CapMonster Cloud では、Python、JavaScript（Node.js）、C# 向けの便利なクライアントライブラリが用意されています。

Python

JavaScript

解決、トークンの挿入、フォーム送信までの一連の流れ

あなたのウェブページ上で CAPTCHA をフルサイクルで解決するための Node.js のサンプルです。代表的なアプローチは 2 つあります。1つ目は HTTP リクエストで HTML と CAPTCHA パラメータを取得し、回答を送信して結果を処理する方法。2つ目は、Playwright のような自動化ツールを使い、ページを開いて CAPTCHA の読み込みを待ち、パラメータを送信します（テスト用に正しいデータ・誤ったデータの両方を送ることも可能）。その後、CapMonster Cloud クライアントで解決結果を取得し、トークンをフォームに挿入して結果を確認します。

// npm install playwright @zennolab_com/capmonstercloud-client

import { chromium } from "playwright";
import {
  CapMonsterCloudClientFactory,
  ClientOptions,
  GeeTestRequest
} from "@zennolab_com/capmonstercloud-client";

const CAPMONSTER_API_KEY = "YOUR_CAPMONSTER_API_KEY";

async function solveGeetestV4(pageUrl) {
  const browser = await chromium.launch({ headless: false });
  const context = await browser.newContext({ viewport: null });
  const page = await context.newPage();

  let detected = null;
  let solutionObj = null;

  // 1. /load のレスポンスをフックし、captcha_id や challenge などを取得
  page.on("response", async (response) => {
    const url = response.url();
    if (!url.startsWith("https://gcaptcha4.geetest.com/load?")) return;

    const params = new URLSearchParams(url.split("?")[1] || "");
    const captchaId = params.get("captcha_id");
    const challenge = params.get("challenge");
    const captchaType = params.get("captcha_type");

    if (captchaId && challenge) {
      detected = { captchaId, challenge, captchaType };
      console.log("Detected GeeTest v4 load:", detected);
    }
  });

  // 2. ページを読み込む
  console.log("Opening page:", pageUrl);
  await page.goto(pageUrl, { waitUntil: "domcontentloaded" });

  // 3. /load をキャプチャできるまで待機
  console.log("Waiting for GeeTest /load...");
  while (!detected) {
    await page.waitForTimeout(500);
  }

  // 4. CapMonster Cloud にタスクを送信
  console.log("Sending task to CapMonster...");
  const cmc = CapMonsterCloudClientFactory.Create(
    new ClientOptions({ clientKey: CAPMONSTER_API_KEY })
  );

  const task = new GeeTestRequest({
    websiteURL: pageUrl,
    gt: detected.captchaId,
    challenge: detected.challenge,
    version: "4",
    initParameters: {
      riskType: detected.captchaType || "slide"
    }
  });

  const solveRes = await cmc.Solve(task);
  const sol = solveRes.solution || solveRes;

  solutionObj = {
    captcha_id: sol.captcha_id || detected.captchaId,
    captcha_output: sol.captcha_output,
    lot_number: sol.lot_number,
    pass_token: sol.pass_token
  };

  console.log("Got solution from CapMonster:", solutionObj);

  // 5. /verify に自分の値を挿入し、成功レスポンスを得る
  await page.route("https://gcaptcha4.geetest.com/verify*", async (route) => {
    console.log("Intercepted /verify, injecting fake success...");
    const body = `geetest_${Date.now()}(${JSON.stringify({
      status: "success",
      data: {
        result: "success",
        seccode: {
          captcha_id: solutionObj.captcha_id,
          captcha_output: solutionObj.captcha_output,
          lot_number: solutionObj.lot_number,
          pass_token: solutionObj.pass_token
        }
      }
    })})`;

    await route.fulfill({
      status: 200,
      contentType: "application/javascript",
      body
    });
  });

  // 6. ユーザー操作をエミュレート（例：CAPTCHA ボタンをクリック）
  console.log("Waiting for captcha interaction...");
  await page.waitForTimeout(3000);

  // 検証呼び出しの例：
  try {
    await page.click('.geetest_btn'); // CAPTCHA ボタン
    console.log("Clicked captcha button");
  } catch {
    console.log("Captcha button not found");
  }

  // 場合によっては verify() を手動で呼び出す必要があります：
  await page.evaluate(() => {
    if (window.initGeetest4 && typeof verify === "function") {
      verify();
    }
  });

  console.log("Waiting for verification request...");
  await page.waitForTimeout(3000);

  await browser.close();

  return { detected, solution: solutionObj };
}
(async () => {
  const url = "https://example.com"; // GeeTest v4 が設置されたページの URL に置き換えてください
  const res = await solveGeetestV4(url);
  console.log("FINISHED:", res);
})();

また、CapMonster Cloud のブラウザー拡張機能を使えば、コードを書かずにブラウザー上で直接 CAPTCHA 認識をテストすることができます。ページ上での動作をすばやく確認し、解決プロセスをリアルタイムで追跡可能です。拡張機能は Chrome と Firefox で利用できます。

GeeTest CAPTCHA v4 を自分のサイトに接続する方法

サイト上での CAPTCHA の動作、検証ロジック、再接続や再設定の手順を正しく理解するために、このセクションを読むことをお勧めします。ここでは保護機能の導入プロセスを説明しており、設定の細かい点まで素早く把握するのに役立ちます。

1. GeeTest アカウントに登録するか、ログインします。

2. Captcha Dashboard に移動し、Behavior Verification v4 を選択します。

HowTo Connect image 1

3. ダッシュボードで + Create application をクリックします。

4. APP/website name（CAPTCHA を使用するサイトまたはアプリ名）、Address（CAPTCHA を設置するサイトのメインドメイン、例：https://example.com）、Industry（サイトのカテゴリ。例：「E-commerce」「Social Media」など）を入力し、Confirm をクリックします。

5. 作成したアプリケーション名の横にある Add events をクリックします。Event には CAPTCHA を使用する具体的なシナリオ（login、register など）を指定し、Device にはプラットフォーム（Web / Wap など）、Business types には CAPTCHA を使う業務シナリオの種類（Sign-up / Sign-in など）を指定して、Add をクリックします。

6. これで、作成した CAPTCHA に対して、クライアントとサーバーの両方で使用する ID と、サーバー側で検証に使用する Key がダッシュボードに表示されます。

HowTo Connect image 2

7. クライアント側の実装

まずスクリプトを読み込みます：

<script src="https://static.geetest.com/v4/gt4.js"></script>

次に CAPTCHA を初期化します：

initGeetest4(
  { captchaId: "Your CaptchaId" },
  function (captcha) {
    captcha.appendTo("#captcha"); // ページ内の要素に挿入
  }
);

重要：

CAPTCHA はページ読み込み時に初期化する必要があります。そうしないと、ユーザー行動を正しく追跡できません。
同一ページに複数の CAPTCHA を配置する場合は、それぞれに対して initGeetest4 を個別に呼び出してください。
CAPTCHA を iframe 内で使用する場合は、iframe に sandbox="allow-scripts allow-popups" を付与してください。

コード例

<!-- CAPTCHA スクリプトを読み込む -->
  <script src="https://static.geetest.com/v4/gt4.js"></script>
</head>
<body>
  <h1>CAPTCHA Demo</h1>
  <!-- CAPTCHA 用コンテナ要素 -->
  <div id="captcha"></div>

  <script>
    // CAPTCHA の初期化処理
    initGeetest4(
      {
        captchaId: "YOUR_CAPTCHA_ID" // 自分の CaptchaId に置き換えてください
      },
      function (captcha) {
        // CAPTCHA を指定したページ要素に挿入
        captcha.appendTo("#captcha");

        // ここで成功時の処理を行えます
        captcha.onSuccess(function() {
          const validate = captcha.getValidate();
          console.log("CAPTCHA passed!", validate);
          // ここから validate をサーバーに送って検証してもよいです
        });
      }
    );
  </script>

8. サーバー側の実装。

ユーザーがフロントエンドで CAPTCHA を通過すると、一連のパラメータが生成されます。これらのパラメータをバックエンドに送信し、GeeTest のセカンダリ検証 API でチェックすることで、検証が正しく行われたことを確認します。

セカンダリ検証 API：

url

http://gcaptcha4.geetest.com/validate

メソッド：GET / POST
Content-Type：application/x-www-form-urlencoded
レスポンス形式：JSON

主なリクエストパラメータ

lot_number - 検証のシリアル番号
captcha_output - 検証データ
pass_token - 検証トークン
gen_time - 検証生成時間
captcha_id - CAPTCHA ID
sign_token - 検証用署名

成功レスポンスの例

{
  "status": "success",
  "result": "success",
  "reason": "",
  "captcha_args": {
    "used_type": "slide",
    "user_ip": "127.0.0.1",
    "lot_number": "4dc3cfc2cdff448cad8d13107198d473",
    "scene": "anti crawler",
    "referer": "http://127.0.0.1:8077/"
  }
}

PHP での CAPTCHA 検証例

<?php
$captcha_id = 'YOUR_CAPTCHA_ID';
$captcha_key = 'YOUR_CAPTCHA_KEY';
$api_server = 'http://gcaptcha4.geetest.com';

// フロントエンドからパラメータを受け取る
$lot_number = $_POST['lot_number'] ?? '';
$captcha_output = $_POST['captcha_output'] ?? '';
$pass_token = $_POST['pass_token'] ?? '';
$gen_time = $_POST['gen_time'] ?? '';

// 署名（sign_token）を生成する
$sign_token = hash_hmac('sha256', $lot_number, $captcha_key);

// リクエスト送信用のデータを組み立てる
$data = [
    'lot_number' => $lot_number,
    'captcha_output' => $captcha_output,
    'pass_token' => $pass_token,
    'gen_time' => $gen_time,
    'sign_token' => $sign_token
];

// セカンダリ検証 API へのリクエスト
$url = $api_server . '/validate?captcha_id=' . $captcha_id;
$options = [
    'http' => [
        'header'  => "Content-type: application/x-www-form-urlencoded\r\n",
        'method'  => 'POST',
        'content' => http_build_query($data),
        'timeout' => 5
    ]
];

$context  = stream_context_create($options);
$result = @file_get_contents($url, false, $context);
if ($result === FALSE) {
    $response = ['login' => 'fail', 'reason' => 'request geetest api fail'];
} else {
    $gt_msg = json_decode($result, true);
    if ($gt_msg['result'] === 'success') {
        $response = ['login' => 'success', 'reason' => $gt_msg['reason']];
    } else {
        $response = ['login' => 'fail', 'reason' => $gt_msg['reason']];
    }
}

echo json_encode($response);
?>

CAPTCHA 設定の詳細調整、最適な保護戦略の選択、ウィジェットのスタイルやアニメーションの変更、そして統合パラメータの詳細情報については、GeeTest 開発者コンソールおよび公式ドキュメントを参照してください。

想定されるエラーとデバッグ

無効なパラメータ

CAPTCHA が表示されない、または invalid-captcha-id / invalid-challenge などのエラーが返される場合は、ページに対応した最新の captcha_id と challenge を使用しているか確認してください。これらの値は、各 /load リクエストごとに動的に生成されます。

解決タイムアウト

CAPTCHA の解決結果が制限時間内に取得できませんでした。自動解決サービス（例：CapMonster Cloud）を使用している場合は待ち時間（タイムアウト）を延長し、API との接続が安定しているか確認してください。

フィールドが空

captcha_output、pass_token、lot_number のいずれか、またはすべてがページや検証リクエストに渡されていません。これらの値が、フォームの hidden フィールドやサーバーへのリクエストボディに正しく挿入されているか確認してください。

レスポンスが success=false

トークンの有効期限が切れている、再利用されている、または偽造されています。検証サーバーへの全てのリクエストとレスポンスをログ出力し、error_code や error_msg などのフィールドを確認できるようにしてください。

保護の堅牢性チェック

統合後は、システムが本当に自動化された操作からサイトを守れているか確認しましょう。

CAPTCHA を解かずにリクエストを送ってみてください — サーバーは success: false を返すはずです。

k6 や JMeter などを使って、1秒あたり100件以上のリクエストで負荷テストを行ってください。CAPTCHA が正しく表示され、検証システムが安定して動作することを確認します。

有効期限が切れたトークン、または再送されたトークン（pass_token / lot_number）を使用した場合のサーバーの挙動を確認します。期待されるレスポンスは 403 Forbidden または "status":"error" です。

セキュリティと最適化のヒント

<b>CAPTCHA キー（秘密 KEY）は必ずサーバー側のみに保存</b>し、クライアント側には絶対に公開しないでください。

CAPTCHA キー（秘密 KEY）は必ずサーバー側のみに保存し、クライアント側には絶対に公開しないでください。

検証時には、サーバーレスポンス内の <b>error-codes</b> やその他のエラー関連フィールドをログとして記録し、失敗した検証の原因を把握できるようにしてください。

検証時には、サーバーレスポンス内の error-codes やその他のエラー関連フィールドをログとして記録し、失敗した検証の原因を把握できるようにしてください。

ライセンスや内部ポリシーで必要な場合は、フォームの下部に <b>プライバシーポリシー</b> と <b>GeeTest 利用規約</b> へのリンクを追加してください。

ライセンスや内部ポリシーで必要な場合は、フォームの下部に プライバシーポリシー と GeeTest 利用規約 へのリンクを追加してください。

まとめ

すでにキャプチャや別の保護システムが導入されているサイトを引き継いだものの、コードにはアクセスできない場合でも心配はいりません！どの技術が使われているかを特定するのはそれほど難しくありません。動作が正しいか確認するには、隔離されたテスト環境で認識サービスCapMonster Cloudを利用し、トークン処理の仕組みと検証ロジックが正しく機能しているかをチェックできます。

GeeTest CAPTCHA v4の場合も、システムを特定し、その挙動を調べて、保護機能が正しく動いていることを確認すれば十分です。この記事では、GeeTest CAPTCHA v4を見分ける方法と、その導入や再設定に関する手順書の見つけ方を紹介しました。これにより、防御を安心して維持し、その動作をしっかりと管理できます。

参考リンク

GeeTest v4 ドキュメント →

GeeTest v4 開発者コンソール →

CapMonster Cloud ドキュメント（GeeTest v4 との連携） →

GeeTest アカウントの作成 →

CapMonster Cloud アカウントの作成 →

CapMonster Cloud のブラウザー拡張は Chrome と Firefox に対応しています。インストールと使用方法の詳細はこちらをご覧ください。

GeeTest CAPTCHA v4 と CapMonster Cloud

CapMonster Cloud で GeeTest CAPTCHA v4 を解決する方法

GeeTest CAPTCHA v4
と CapMonster Cloud