botによる不正利用を防ぐ!
reCAPTCHA認証
特定の操作やページに対する
スパム攻撃を防ぎたい場合におすすめ!
特定の操作やページに対する
スパム攻撃を防ぎたい場合におすすめ!
ebisumart zeroでは、各ページにreCAPTCHA認証を設置できます。
操作しているユーザーがbotかどうか判定し、不正なデータ登録やログインを防止します。
不正なbotの操作からECサイトを守るため、セキュリテイ対策の一歩を踏み出してみませんか?
botとは
自動でWebサイトへアクセスし、様々な処理を実行するアプリケーションやプログラムのことです。
ECサイトにおいては、会員登録、購入、無作為にカード登録するような悪質なbotが存在し、損害を発生させることもあります。
Google社が提供する「reCAPTCHA」は、不正行為、スパム、不正使用からサイトを保護するためのサービスです。
ユーザーの操作から、botか人間かを判定します。
botと判定された場合は、操作がブロックされ、その先のページに進めません。
reCAPTCHAには、v2とv3のバージョンがあり、どちらか一方を選択します。
v2の場合は、チェックボックスをクリック、もしくは、画像認証のクイズ※を行うことで、botかどうか判定します。
v3の場合は、ユーザーの行動をスコアリングし、そのスコアをもとにbotかどうか判定します。
各ページに、reCAPTCHA認証を導入することで、不正なbotの操作を防止します。
※画像認証のクイズは、チェックボックスへのクリックを何度も無視するなど人間と判定できない場合に表示されます。
7種の利用可能なreCAPTCHA認証があります。
導入する際は、テンプレートファイルへのm:idの組み込みや、初期設定の登録が必要です。
詳しくは、各マニュアルをご覧ください。
オプション名 | botか人間かを判定する場面 | 判定するページ |
---|---|---|
reCAPTCHA認証(注文情報入力) | 注文前 |
注文情報入力ページ ・cart_seisan.xhtml ・cart_seisan$amazon_payments_v2.xhtml(Amazon Pay V2利用時) |
reCAPTCHA認証(カード登録) | クレジットカードの登録・変更前 | クレジットカード情報登録ページ(member_credit_entry_input.xhtml) |
reCAPTCHA認証(定期注文情報変更) | 定期受注の注文内容、支払い方法の変更前 | 定期注文情報変更ページ ・teiki_renew_confirm.xhtml ・teiki_renew_confirm$payment.xhtml |
reCAPTCHA認証(会員登録) | 会員登録・会員情報変更前 | 会員登録確認 / 会員情報変更確認ページ(member_confirm.xhtml) |
reCAPTCHA認証(ログイン) | ログイン前 |
ログインページ ・login.xhtml ・cart_login.xhtml ・present_login.xhtml (懸賞管理オプション利用時) ・item_nyuka_notice.xhtml (入荷お知らせオプション利用時) ・cart_login$amazon_payments_v2.xhtml(Amazon Pay V2利用時) |
reCAPTCHA認証(お問い合わせ入力) | お問い合わせ内容投稿前 | お問い合わせ入力ページ(apply$/input_XXXX.xhtml ) |
reCAPTCHA認証(入荷お知らせ登録) | 商品の入荷お知らせ登録前 | 入荷お知らせ登録ページ(item_nyuka_notice.xhtml ) |
※判定するページのテンプレートファイルは「/view/userweb(smartphone)/」配下に格納されています。
各reCAPTCHA認証を利用した際の、ページ遷移は以下の通りです。
・reCAPTCHA認証(注文情報入力)
・reCAPTCHA認証(カード登録)
・reCAPTCHA認証(定期注文情報変更)
・reCAPTCHA認証(会員登録)
・reCAPTCHA認証(ログイン)
・reCAPTCHA認証(お問い合わせ入力)
・reCAPTCHA認証(入荷お知らせ登録)
悪質なbotによる不正アクセスを防ぐのに有効です。
下記をユーザーが実行する前に、botかどうか判定することで、不正な登録やログインを防ぐことができます。
・注文
・カード登録
・定期注文情報変更
・会員登録 / 会員情報変更
・ログイン
・お問い合わせ投稿
・入荷お知らせ登録
また、クレジットカード情報登録ページにreCAPTCHA認証を設置することで、
クレジットカードを無作為に登録する「クレジットマスター」という攻撃にも対処します。
導入のステップ数が少なく、特定の操作への対策として導入できるため、最初のセキュリテイ対策機能として最適です。
v2とv3は、botか人間かを判定する方法が異なります。
メリットとデメリットもあわせてご紹介します。
v2 | v3 | |
---|---|---|
botか人間かを 判定する方法 |
下記どちらかの操作をもとに判定 ・チェックボックスをクリック ・画像認証のクイズ |
ユーザーの行動をスコアとして算出した結果をもとに判定 |
メリット | 正しい操作ができないbotを、 ブロックできる |
ユーザーに操作させることなく、 botかどうか判定できる |
デメリット | 操作が必要なため、 ユーザビリティが下がる |
Google側でユーザーのサイト内の行動をスコアとして算出し、そのスコアをもとに判定するため、人がブロックされる可能性がある |
上記に伴い、ユーザーが離脱する可能性がある | スコアの計測が不十分な場合に、 botをブロックできない |
Version3(v3)を選択された場合は、誤ってbotと判定されることがあります。
ログインできるようにするため、下記のいずれかをご案内いたします。
・初期設定「reCAPTCHA v3 bot判定閾値」の調整
・reCAPTCHA認証(v2)へ切り替え
・reCAPTCHA認証機能の利用停止
テンプレートファイルの記述が不足している可能性があります。以下があるかどうか、ご確認ください。
・すべてのテンプレートファイルに記載する必要のある記述
・reCAPTCHA認証を利用するのに必要な記述
※各reCAPTCHA認証のマニュアルを参照してください。
利用できます。
利用するには、以下を実施する必要があります。
詳しくは、カード入力画面PCIDSS環境利用フラグ利用時のreCAPTCHA認証の設定方法をご覧ください。
1.Google社提供のreCAPTCHAお申込みサイトにて登録
(クレジットカード情報入力ページのドメインに、サブドメイン以外を登録した場合)
2.PCI DSSに準拠した環境に配置するテンプレートファイルに追記