Loading...
reCAPTCHA V2ソリューションの価格
キャプチャや防御機構が導入済みのサイトを引き継いだのに、ソースコードへアクセスできない? その場合、どの仕組みが入っているのか、設定は正しいのか、どう検証するのかが気になります。
この記事では、よくある疑問にできるだけお答えしました。まず最初のステップは、どのような保護システムが使われているかを特定することです。そのために、代表的なキャプチャやボット対策システムの一覧を参照できます。ここには、どの仕組みが使われているかを素早く見分けるための画面イメージや主な特徴がまとめられています。
もしサイトで reCAPTCHA V2 が使われていることが分かったら、次のステップはその特徴と動作をより詳しく確認することです。同じこの記事の中で、reCAPTCHA V2 をサイトに導入するための手順書も確認できるので、あなたのサイト上でどのように機能しているのかをしっかり理解できます。これにより、現在の保護を正しく把握できるだけでなく、今後の運用や保守も計画的に行えるようになります。
Google reCAPTCHA v2 とは
reCAPTCHA v2 は Google が提供する保護システムで、サイトに害を与えるスパムや自動化された動作を防ぐために設計されています。実際の訪問者とボットを見分けることで、Web リソースの安全性と安定性を保ちます。
reCAPTCHA V2 の例
reCAPTCHA v2
ユーザーが自分が人間であることをチェックボックスで確認する古典的なキャプチャです。必要に応じて、特定の画像を選ぶなど追加の課題が表示される場合があります。
reCAPTCHA v2 Invisible
ユーザー操作なしで自動的に検証が行われる不可視バージョンで、チェックボックスをクリックする必要はありません。
reCAPTCHA v2 Enterprise
追加の制御機能を備えたエンタープライズ向けバージョンです。
CapMonster Cloud で reCAPTCHA v2 を解く方法
reCAPTCHA V2 を含むフォームをテストする際は、キャプチャが正しく組み込まれ機能しているか確認する必要があります。
サイトに埋め込まれたキャプチャを手動で確認する方法
- フォームのページを開き、キャプチャが表示されることを確かめます。
- 解決せずにフォーム送信を試みると、サーバーはエラーを返すはずです。
- 正しく解決した後は、問題なく送信できる必要があります。
自動解決には CapMonster Cloud のようなツールを使うと便利です。キャプチャのパラメータを送信すると、サーバー側で処理して利用可能なトークンを返してくれます。そのトークンをフォームに挿入すれば、ユーザー操作なしでチェックを通過できます。
CapMonster Cloud API を使った一般的な手順:
タスクの作成
この段階で API キー、キャプチャタイプ、パラメータを送信します。サービスは後で結果を取得するための一意な taskId を返します。
API リクエストの送信reCAPTCHA v2 を解くリクエストには以下のパラメータを含める必要があります。
type - RecaptchaV2Task;
websiteURL - キャプチャが表示されるページの URL;
websiteKey - 対象ページに記載されている sitekey。
パラメータや自動取得の方法については、CapMonster Cloud ドキュメントで詳しく説明しています。
タスク送信先のエンドポイント:
https://api.capmonster.cloud/createTaskリクエスト例:
{
"clientKey": "API_KEY",
"task": {
"type": "RecaptchaV2Task",
"websiteURL": "https://lessons.zennolab.com/captchas/recaptcha/v2_simple.php?level=high",
"websiteKey": "6Lcg7CMUAAAAANphynKgn9YAgA4tQ2KI_iqRyTwd"
}
}
レスポンス:
{
"errorId":0,
"taskId":407533072
}
結果の受信タスク作成後は解決状況を定期的に確認してください。
結果を受け取るためのアドレス:
https://api.capmonster.cloud/getTaskResult既製ライブラリで reCAPTCHA v2 を解く
CapMonster Cloud には Python、JavaScript (Node.js)、C# 向けの SDK が用意されており、すぐに利用できます。
Python
JavaScript
C#
reCAPTCHA v2 をサイトに組み込む方法
サイト上での動作を理解し、検証ロジックや再設定の流れを把握するにはこのセクションを確認してください。保護のセットアップ手順を網羅しており、要点をすばやく押さえられます。
1. reCAPTCHA 管理コンソールにアクセスします。
2. 新しいサイトを登録。
reCAPTCHA v2(チェックボックス+課題、または不可視タイプ)を選択します。
3. 2 つのキーを取得:
- Site key — フロントエンドで使用する公開キー;
- Secret key — サーバー側で検証に使う秘密キー。
設定画面で reCAPTCHA を利用できるドメインや、利用するセキュリティレベル(簡易~高セキュリティ)を指定できます。
4. クライアント側コードの例。 reCAPTCHA v2 を埋め込んだ HTML フォーム(ページ本文にそのまま貼り付け可能):
reCAPTCHA v2 付き HTML フォームチェックボックスウィジェットの場合:
<html>
<head>
<title>reCAPTCHA demo</title>
<script src="https://www.google.com/recaptcha/api.js" async defer></script>
</head>
<body>
<form action="submit" method="POST">
<div class="g-recaptcha" data-sitekey="your_site_key"></div>
<br/>
<input type="submit" value="Submit">
</form>
</body>
</html>このコードは Google reCAPTCHA ライブラリを読み込み、POST でデータを送信するフォームを作成します。<div class="g-recaptcha" data-sitekey="your_site_key"></div> で公開キーを使った reCAPTCHA v2 ウィジェットを表示します。"Submit" をクリックすると、g-recaptcha-response トークンと共にフォームが送信され、バックエンドで検証されます。
不可視 reCAPTCHA v2 の場合:
<html>
<head>
<title>reCAPTCHA demo</title>
<script src="https://www.google.com/recaptcha/api.js" async defer></script>
<script>
function onSubmit(token) {
document.getElementById("demo-form").submit();
}
</script>
</head>
<body>
<form id="demo-form" action="?" method="POST">
<button class="g-recaptcha" data-sitekey="your_site_key" data-callback="onSubmit">Submit</button>
<br/>
</form>
</body>
</html><button class="g-recaptcha" data-sitekey="your_site_key" data-callback="onSubmit">Submit</button> ボタンが不可視キャプチャを自動的に実行し、トークンを生成して onSubmit を呼び出します。
onSubmit(token) 関数は g-recaptcha-response トークンを受け取り、フォームをサーバーへ送信します。
チェックボックスウィジェットとは異なり、ユーザーにはキャプチャが見えず、検証はバックグラウンドで行われます。
想定されるエラーとデバッグ
無効なサイトまたはキー
キャプチャが読み込まれない、または invalid-input-secret を返します。
解答タイムアウト
サーバーが時間内に結果を受け取りませんでした。タイムアウトを延長してください。
空のトークン
結果をページへ渡す際にエラーが発生しました。
Response success=false
トークンが期限切れ、再利用、あるいは改ざんされました。リクエストログを有効にし、Google が返す error-codes フィールドを確認してください。
保護の堅牢性チェック
統合後は、システムが本当に自動化された操作からサイトを守れているか確認しましょう。
キャプチャを解決せずにリクエストを送信してみてください — サーバーはsuccess: false.を返すはずです。
k6 や JMeter などを使って、1秒あたり100件を超えるリクエスト速度で負荷テストを行ってください — キャプチャが正しく表示され、検証システムが安定して動作し続ける必要があります。
有効期限切れ、または再送信されたトークンに対するサーバーの応答を確認してください — 期待されるレスポンスは403 Forbidden.です。
セキュリティと最適化のヒント
Secret Keyはサーバー側のみに保存し、クライアント側には決して渡さないでください。
なぜ特定の検証が失敗したのかを把握できるように、エラーコード(error-codes)をログに記録してください。
フォーム下部に、ライセンス要件どおりプライバシーポリシーとGoogle 利用規約へのリンクを追加してください。
サポートされているキャプチャ
GeeTest
Cloudflare Turnstile
DataDomeまとめ
すでにキャプチャや別の保護システムが導入されているサイトを引き継いだものの、コードにはアクセスできない場合でも心配はいりません!どの技術が使われているかを特定するのはそれほど難しくありません。動作が正しいか確認するには、隔離されたテスト環境で認識サービスCapMonster Cloudを利用し、トークン処理の仕組みと検証ロジックが正しく機能しているかをチェックできます。
reCAPTCHA V2の場合も、システムを特定し、その挙動を調べて、保護機能が正しく動いていることを確認すれば十分です。この記事では、reCAPTCHA V2を見分ける方法と、その導入や再設定に関する手順書の見つけ方を紹介しました。これにより、防御を安心して維持し、その動作をしっかりと管理できます。
Amazon Waf
Faucet Pay
Imperva (Incapsula)
Prosopo
Text CAPTCHA
Yidun
MTCaptcha
Altcha
Funcaptcha
TSPD
Hunt
Alibaba
Friendly