みなさん、こんにちは。サニービュー事業部の小寺です。
AWS WAF CaptchaがGAになりました。

https://aws.amazon.com/jp/about-aws/whats-new/2022/06/aws-waf-captcha-generally-available/

AWS WAF Captcha は 2021年11月4日より一部のリージョンで提供されていましたが、6月より
GAとなりました。

CAPTCHAってそもそも何？

CAPTCHAは「Completely Automated Public Turing Test To Tell Computers and Humans Apart（コンピュータと人間を区別するための完全自動化された公開チューリングテスト）」の略で「キャプチャ」と発音します。

みなさんもインターネット上CAPTCHAおよびreCAPTCHAをよく見かけると思います。

CAPTCHAは画像の中に書いてある文字や数字を入力したり、画面上にある図形を特定の位置に移動させたり、人間が操作すると簡単にできるけど、プログラムには難しそうな操作をさせることによって「今、この画面を操作しているのは人間で、プログラムじゃないよね？」ってことを確認し、操作しているのがプログラムだったら先に進めないようにする仕組みです。

また、reCAPTCHAとよばれるGoogle社が提供する同様の仕組みもあります。
reCAPTCHAとは、CAPTCHと同様にAbotによるWebサイトへの攻撃を防ぐためのもので、お問い合わせフォームの送信画面やログイン画面で、「私はロボットではありません」の文言とともに表示されるチェックボックスを見たことがある方は多いのではないでしょうか。バージョンによっては、「reCAPTCHAで保護されています」の表示がされる場合もあります。

早速CAPTCHAを使ってみる

(1)AWS WAFのWeb ACLsのルールより、「Add my rules and rule groups」をクリックします。

(2)今回は/loginというURLに対してCAPTCHA を要求するルールを作成してみます。ルール名を入力して、URI を対象とした文字列一致条件を完全一致で登録します。

(3)アクションでは「CAPTCHA」を選びます。

(4)設定したURLにアクセスすると、CAPTCHA画面が表示されるようになります。

オーディオパズルというものもあり、ノイズ音がする中、聞こえてきたワードを入力するということもできます。

AWS WAF Captchaの対応サービス

Application Load Balancer、Amazon API Gateway、AWS AppSync 、Amazon CloudFront のリソースがサポートされています。

AWS WAF Captchaを使うにあたっての考慮事項

AWS WAFのルール追加になるので、事前検証が必要です。テスト環境またはステージング環境でのみ使用されるウェブ ACL のルールに CAPTCHA ルールアクションを追加します。カスタムヘッダー値や特定の URL など、一致条件や非一致条件を簡単にテストできるルールを選択します。

CAPTCHA パフォーマンスのモニタリングも可能です。Amazon CloudWatch メトリクスが提供されていて、オプションで、CAPTCHA メトリクスのダッシュボードを作成することができます。

また、今回はデフォルトの手順をご紹介していますが、有効期限の要件を確認したうえでウェブ ACL、ルールレベルの CAPTCHAの設定を行った方が良いということになります。

対応リージョン

2022年6月のGA時点で、すべての商用 AWS リージョン、AWS GovCloud (米国) で利用することが可能です。

まとめ

Bot対応ができるCAPTCHA機能がAWS WAFでも提供されるようになりました。
ログイン、検索、フォーム送信などのボットのターゲットとなることが多い特定のページで活用できそうですね。

AWSをご利用いただくには、直接契約するより断然お得!
AWS利用料が5％割引。手数料は一切かかりません！