ハクソク

世界を動かす技術を、日本語で。

Googleが「reCAPTCHA」を非Google化されたAndroidユーザー向けに無効化した

2026年5月9日原文(reclaimthenet.org)

概要

  • Googleの次世代reCAPTCHA がAndroidのGoogle Play Servicesに依存
  • de-Googled端末 では認証が自動的に失敗
  • Play Services v25.41.30以上 が必要条件
  • iOSでは追加アプリ不要、Androidのみ制限
  • エコシステムコントロールの強化と プライバシー懸念

GoogleのreCAPTCHA新仕様とAndroidユーザーへの影響

  • Googleの新しいreCAPTCHA がAndroid端末で Google Play Services への依存を強化
  • de-Googled端末 (GrapheneOSやカスタムROM等)では認証プロセスが自動的に失敗
  • Play Services v25.41.30以上 がインストールされていないと人間認証不可
  • 疑わしいアクティビティ が検出されると従来の画像パズルではなく QRコードスキャン 方式に切り替え
  • QRコードのスキャンには バックグラウンドでPlay Servicesが必要、Googleサーバーとの通信が必須
  • Google Cloud Fraud Defense として2024年4月23日Cloud Nextで発表、AIエージェントやボット対策も目的
  • 人間である証明のためにGoogle独自の監視に同意が必要 という新たな前提

仕様変更の経緯と透明性の問題

  • 2023年10月のInternet Archive スナップショットで、既にPlay Services要件が記載
  • 少なくとも7ヶ月前から静かに依存関係を構築
  • Redditのdegoogleサブレディット投稿 をきっかけに、PiunikaWebやAndroid Authorityが報道
  • Googleは公式発表で依存強化を強調せず

iOSとの比較とエコシステムコントロール

  • iOS 16.4以降のApple端末 では追加アプリ不要で同じ認証プロセスを完了
  • iPhoneユーザーにGoogleソフトウェアのインストールを要求せず
  • AndroidのみPlay Services未使用時に認証不可
  • セキュリティではなくエコシステム制御が主目的 との指摘
  • reCAPTCHAが多数のWebサイトで利用されており、 Googleソフトウェアの利用が事実上の条件

プライバシーとユーザー選択の否定

  • de-Googled端末利用者 はGoogleのデータ収集方針を理解し、同意しない選択をしたユーザー層
  • Googleの新システムはその選択を「疑わしい」と見なして排除
  • reCAPTCHA導入サイトはde-Googledユーザーを事実上排除
  • 現時点で対象ユーザーは少数だが、 プライバシー意識の高い層を排除する動き

Web開発者への注意喚起

  • reCAPTCHA導入は「Google非依存ユーザーは歓迎しない」という意思表示
  • プライバシー重視層 への配慮や代替手段の検討が必要

関連情報

Hackerたちの意見

私の理解では、この新しいreCAPTCHAは基本的にリモート認証に過ぎないんだよね。リモート認証はブラインド署名を使わないから(それだと「ファーム可能」になっちゃうし)、デバイスを「認証対象」に結びつけるのは技術的には可能なんだ。Googleサーバーの共謀があればね。EK(静的に焼き付けられた秘密鍵)→AIK(Googleサーバーに署名されたセキュアエンクレーブ内の一時的なアイデンティティキー)→認証(AIKによって署名されたもの)。見ての通り、GoogleサーバーがEK→AIKの変換をログに残していれば、認証は簡単にあなたのデバイスのEKに追跡できる。だから、偽のリモート認証を提供するオンラインサービスはほとんど見かけないし、これからも見ないだろうね。そんなサービスを運営する次のステップはGoogleを顧客にすることだし、すべてのデバイスがブラックリストに載っちゃうから。プライベートファームも長持ちしないだろうね。Googleはすべてをログに残して相関関係を見つけるだろうし。新しいreCAPTCHAで特別なことが行われない限り、TPMチップの背後にインターネットサービスをロックしているだけでなく、Googleに匿名性を渡していることになる。すべてのサービスに対して追跡不可能なバーナーを手に入れない限り、新しいreCAPTCHAはすべてのアカウントを結びつける技術的な能力を持っていることになる。年齢確認みたいにね。サービスがreCAPTCHAセッションを登録にリンクさせるために協力する必要があるように見えるかもしれないけど、登録時間だけでも十分だろうし(匿名性のセットはほぼ壊滅状態になるだろう)。

GoogleはiPhoneユーザーにテストを通過するためにGoogleソフトをインストールするよう要求しなかった。デゴグルされたAndroidフォンはiPhoneとして自己主張できるの?

ウェブサイトを運営しているなら、同じコードを自分のサイトに載せて、他の誰かに認証を転送するのは簡単そうだね。自分のデバイスを禁止される代わりに、相手のデバイスが禁止されるってわけ。

reCAPTCHAを使っているサイトやサービスには行かないようにしよう。それで問題解決。

私の理解では、この新しいreCAPTCHAは基本的にリモート認証に過ぎない。そうだね、「このQRコードを解析して」っていうのは、私の「人間がコンピュータよりも効果的にできるタスク500,000個」のリストには入らないな。

reCAPTCHAのドキュメントにはハードウェア認証をサポートする必要があるとは書いてないし、Playサービスで「十分」みたいだね。おそらくGoogleによってリモートで認証される可能性が高いと思う。彼らはアプリを使って(Playサービスが持つ膨大なアクセス権を使って)たくさんのデータをリンクさせるかもしれない。公式には、すべてに基づいて人類の評価をより良くするためにね。Googleアカウントを使っている人にとっては、収集されるデータに大きな違いはないだろう。もしそうなるなら、スプーフィングは理論的には可能かもしれないけど、Googleが複数の人が使った認証を検出するのは簡単だろう。これは非常に大まかなシステムの更新であることを忘れないで。絶対的なセキュリティは(まだ)必要ないけど、それでも回避するのは非常に難しい可能性が高いね。

こんな会社が存在するなら、TPMに頼る意味って何なの?VCが支援するボットたちの未来は明るいみたいだね。 https://doublespeed.ai/

なんで彼らがプライベートアクセス・トークンを採用しなかったのか理解できないよ(あれも完璧じゃないけど)。少なくとも、 - 人々のプライバシーを侵害することが目的じゃないフリができた。 - 伝統的な「でもAppleもやってる」って言い訳ができた。 - スタンダード志向を装えた。 - エンドユーザーにとって完全に透明なものとして宣伝できた。 これなら、目標である何らかの形のデバイス認証を達成しつつ、反発も少なかったと思うんだけど、実際の目標はそれじゃないんだろうね。

ここでの発明症候群?

根本的な解決にはなってないよ。特定の人や、少なくとも比較的高価なデバイスを識別できるようにしたいんだ。そうすれば、彼らを禁止したときに本当に禁止できるから。

今はAndroidを使ってないし、GoogleのAndroidもほぼ10年使ってない。これからも使うつもりはないよ。これが私のこだわりなら、それでいい。Googleが管理してるようなハードウェア認証なんて絶対に使わない。君も使うべきじゃないよ、たとえルート化されてないGoogle認証のAndroidフォンを持っていても。

楽しいのは、フィンテックアプリが動かなくてお金がもらえなくなるまでは。だからこそ規制が必要なんだ。政治家が広告会社に逆らう姿は全く見えないね、彼らの顧客なんだから。

Hacker Newsで議論の続きを見る