日本ユニシスは2017年12月14日、Webサイトへの不正ログインを防止するサービス群の提供にあたり、Capyと販売代理店契約を交わしたと発表した。「Capyパズルキャプチャ」、「Capyアバターキャプチャ」、「Capyリスクベース認証」、「Capyリアルタイムブラックリスト」の4つの製品を販売する。いずれもSaaS型のクラウドサービスであり、Webページに専用のJavaScriptを埋め込むことによって利用できる。
図1●Capyパズルキャプチャの利用イメージ(出所:日本ユニシス) 拡大画像表示
CapyパズルキャプチャとCapyアバターキャプチャは、Webサイトにアクセスしたユーザーが機械(ボットプログラム)ではなく生身の人間であることを判定するキャプチャ(CAPTCHA)機能を提供する。特徴は、読みにくい文字を読ませる文字型CAPTCHAではなく、マウス操作でパズルや絵を完成させるタイプのCAPTCHAを利用できることである。
図2●Capyアバターキャプチャの利用イメージ(出所:日本ユニシス) 拡大画像表示
Capyパズルキャプチャは、画像の一部をパズルのピースとして抜き出した画像を使い、このピースを画像の正しい位置にはめこむ操作によって認証する。一方のCapyアバターキャプチャは、果物が乗った皿のイラストに果物のアイコンを選んで乗せるなど、イラストやアイコンの意味と関係性を理解しているかどうかを問う。いずれも、人なら簡単だがボットプログラムにとっては難しい。
Capyリスクベース認証は、Webサイトにログインしようとしているユーザーの環境が、いつも通りの環境かどうかを判定してスコア化するサービスである。本人らしさを0~1の値で数値化したスコアが得られるので、これを元にWebサイト側でアクセスを制御する。判定材料は、アクセス元のIPアドレスのロケーションや、利用しているISP、アクセス時間帯、Webブラウザの種類(User-Agent)、など。
Capyリアルタイムブラックリストは、Capyを利用しているユーザー企業への攻撃者の情報をリアルタイムで共有できるサービスである。
