botによる不正利用を防ぐ!
reCAPTCHA認証
特定の操作やページに対する
スパム攻撃を防ぎたい場合におすすめ!
botによる不正利用を防ぐ!
ebisumartでは、各ページにreCAPTCHA認証を設置できます。
操作しているユーザーがbotかどうか判定し、不正なデータ登録やログインを防止します。
不正なbotの操作からECサイトを守るため、セキュリテイ対策の一歩を踏み出してみませんか?
botとは
自動でWebサイトへアクセスし、様々な処理を実行するアプリケーションやプログラムのことです。
ECサイトにおいては、会員登録、購入、無作為にカード登録するような悪質なbotが存在し、損害を発生させることもあります。
1.reCAPTCHA認証とは
Google社が提供する「reCAPTCHA」は、不正行為、スパム、不正使用からサイトを保護するためのサービスです。
ユーザーの操作から、botか人間かを判定します。
botと判定された場合は、操作がブロックされ、その先のページに進めません。
reCAPTCHAには、v2とv3のバージョンがあり、どちらか一方を選択します。
v2の場合は、チェックボックスをクリック、もしくは、画像認証のクイズ※を行うことで、botかどうか判定します。
v3の場合は、ユーザーの行動をスコアリングし、そのスコアをもとにbotかどうか判定します。
各ページに、reCAPTCHA認証を導入することで、不正なbotの操作を防止します。
※画像認証のクイズは、チェックボックスへのクリックを何度も無視するなど人間と判定できない場合に表示されます。
2.ebisumartで利用可能なreCAPTCHA認証
7種の利用可能なreCAPTCHA認証があります。
導入する際は、テンプレートファイルへのm:idの組み込みや、初期設定の登録が必要です。
詳しくは、各マニュアルをご覧ください。
| オプション名 | botか人間かを判定する場面 | 判定するページ |
|---|---|---|
| reCAPTCHA認証(注文情報入力) | 注文前 |
注文情報入力ページ ・cart_seisan.xhtml ・cart_seisan$estimate.xhtml (見積管理オプション利用時) ・cart_seisan$amazon_payments.xhtml(Amazon Pay利用時) ・cart_seisan$amazon_payments_v2.xhtml(Amazon Pay V2利用時) |
| reCAPTCHA認証(カード登録) | クレジットカードの登録・変更前 | クレジットカード情報登録ページ(member_credit_entry_input.xhtml) |
| reCAPTCHA認証(定期注文情報変更) | 定期受注の注文内容、支払い方法の変更前 | 定期注文情報変更ページ ・teiki_renew_confirm.xhtml ・teiki_renew_confirm$payment.xhtml |
| reCAPTCHA認証(会員登録) | 会員登録・会員情報変更前 | 会員登録確認 / 会員情報変更確認ページ(member_confirm.xhtml) |
| reCAPTCHA認証(ログイン) | ログイン前 |
ログインページ ・login.xhtml ・cart_login.xhtml ・present_login.xhtml (懸賞管理オプション利用時) ・item_nyuka_notice.xhtml (入荷お知らせオプション利用時) ・cart_login$amazon_payments.xhtml(Amazon Pay利用時) ・cart_login$amazon_payments_v2.xhtml(Amazon Pay V2利用時) |
| reCAPTCHA認証(お問い合わせ入力) | お問い合わせ内容投稿前 | お問い合わせ入力ページ(apply$/input_XXXX.xhtml ) |
| reCAPTCHA認証(入荷お知らせ登録) | 商品の入荷お知らせ登録前 | 入荷お知らせ登録ページ(item_nyuka_notice.xhtml ) |
※判定するページのテンプレートファイルは「/view/userweb(smartphone)/」配下に格納されています。
3.ページ遷移について
各reCAPTCHA認証を利用した際の、ページ遷移は以下の通りです。
reCAPTCHA認証一覧
・reCAPTCHA認証(注文情報入力)
・reCAPTCHA認証(カード登録)
・reCAPTCHA認証(定期注文情報変更)
・reCAPTCHA認証(会員登録)
・reCAPTCHA認証(ログイン)
・reCAPTCHA認証(お問い合わせ入力)
・reCAPTCHA認証(入荷お知らせ登録)
reCAPTCHA認証(注文情報入力)
v2の場合
v3の場合
reCAPTCHA認証(カード登録)
v2の場合
v3の場合
reCAPTCHA認証(定期注文情報変更)
v2の場合
v3の場合
reCAPTCHA認証(会員登録)
v2の場合
v3の場合
reCAPTCHA認証(ログイン)
v2の場合
v3の場合
reCAPTCHA認証(お問い合わせ入力)
v2の場合
v3の場合
reCAPTCHA認証(入荷お知らせ登録)
v2の場合
v3の場合
4.reCAPTCHA認証 Q&A
- reCAPTCHA認証を導入するメリットを教えてください。
-
悪質なbotによる不正アクセスを防ぐのに有効です。
下記をユーザーが実行する前に、botかどうか判定することで、不正な登録やログインを防ぐことができます。
・注文
・カード登録
・定期注文情報変更
・会員登録 / 会員情報変更
・ログイン
・お問い合わせ投稿
・入荷お知らせ登録
また、クレジットカード情報登録ページにreCAPTCHA認証を設置することで、
クレジットカードを無作為に登録する「クレジットマスター」という攻撃にも対処します。
導入のステップ数が少なく、特定の操作への対策として導入できるため、最初のセキュリテイ対策機能として最適です。 - v2とv3は、何が違いますか?
-
v2とv3は、botか人間かを判定する方法が異なります。
メリットとデメリットもあわせてご紹介します。
v2 v3 botか人間かを
判定する方法下記どちらかの操作をもとに判定
・チェックボックスをクリック
・画像認証のクイズ
ユーザーの行動をスコアとして算出した結果をもとに判定 メリット 正しい操作ができないbotを、
ブロックできるユーザーに操作させることなく、
botかどうか判定できるデメリット 操作が必要なため、
ユーザビリティが下がるGoogle側でユーザーのサイト内の行動をスコアとして算出し、そのスコアをもとに判定するため、人がブロックされる可能性がある 上記に伴い、ユーザーが離脱する可能性がある スコアの計測が不十分な場合に、
botをブロックできない -
ユーザーから、
「『reCAPTCHA認証が確認できませんでした。お手数ですが、再度reCAPTCHA認証の実施をお願いいたします。』
というメッセージが出て、ログインできなかった。」
と問い合わせがありました。ログインできるようにするにはどうしたら良いですか?
初期設定「reCAPTCHA使用バージョン」は、Version3(v3)を選択しています。
-
Version3(v3)を選択された場合は、誤ってbotと判定されることがあります。
ログインできるようにするため、下記のいずれかをご案内いたします。
・初期設定「reCAPTCHA v3 bot判定閾値」の調整
・reCAPTCHA認証(v2)へ切り替え
・reCAPTCHA認証機能の利用停止
-
reCAPTCHA認証を導入し試したところ、
「reCAPTCHA認証が確認できませんでした。お手数ですが、再度reCAPTCHA認証の実施をお願いいたします。」と
メッセージが表示されます。どうしたら良いですか?
-
テンプレートファイルの記述が不足している可能性があります。以下があるかどうか、ご確認ください。
・すべてのテンプレートファイルに記載する必要のある記述
・reCAPTCHA認証を利用するのに必要な記述
※各reCAPTCHA認証のマニュアルを参照してください。
-
カード入力画面PCIDSS環境利用フラグ利用時の
PCI DSSに準拠した環境にあるページ(URL:card_input.html)で、reCAPTCHA認証を利用できますか?
-
利用できます。
利用するには、以下を実施する必要があります。
詳しくは、カード入力画面PCIDSS環境利用フラグ利用時のreCAPTCHA認証の設定方法をご覧ください。
1.Google社提供のreCAPTCHAお申込みサイトにて登録
(クレジットカード情報入力ページのドメインに、サブドメイン以外を登録した場合)
2.PCI DSSに準拠した環境に配置するテンプレートファイルに追記
