ウェブサイトを運営する上で、スパムや不正アクセスといったトラブルはつきものです。
多くの方が導入しているのが、Googleの「reCAPTCHA(リキャプチャ)」です。
「私はロボットではありません」のチェックボックスや画像選択の画面を見たことがある方も多いはずです。
このreCAPTCHA無料利用の条件が大きく変更されました。
この変更は、知らないうちにサイトの動作やセキュリティに影響を及ぼす可能性があります。
本記事では、reCAPTCHAの変更点をわかりやすく解説し、代替サービスの紹介や今後の対策まで、実用的な情報をお届けします。
reCAPTCHAとは?基礎解説
Google reCAPTCHA(リキャプチャ)は、スパムボットや不正アクセスからウェブサイトを守る「人間判定」機能です。
フォーム送信時などに「I’m not a robot(私はロボットではありません)」というチェックボックスや、信号機・横断歩道などの画像選択を見たことがある方も多いかと思います。
Google reCAPTCHA(リキャプチャ)の特徴
- Web サイトやアプリで、人間とボット(自動スクリプト)を判定するための認証システム
- Google が提供しているサービス(無料枠あり、有料プランもあり) Google Cloud
- 利用される主な用途:お問い合わせフォーム、ログイン画面、会員登録画面、コメント欄などのスパム防止
バージョンによる違い・動作形式
reCAPTCHA には複数バージョンがあり、それぞれ動作方式が少しずつ異なります。
| バージョン | 主な特徴 | 利用者の見た目/操作感 |
|---|---|---|
| v2 | 「私はロボットではありません」チェックボックス、画像選択テストなど | ユーザーに明示的な操作を求める |
| Invisible reCAPTCHA(v2派生) | ユーザーには表示されず、裏側で判定 | 見た目では認証がされていることを感じさせない |
| v3 | 完全に裏側(バックグラウンド)でスコアを付けて判定 | ユーザーに操作を求めず、スムーズな体験 |
スコアは 0.0 ~ 1.0 の範囲で返され、運営者はその閾値(しきい値)を設定して、不正と判断したものをブロックしたり、追加の認証を求めたりできる。
v3 は、ユーザーが特別な操作をしなくても、web ページでの行動(マウスの動き、スクロール、クリックなど)をもとに「このアクセスは怪しいかどうか」のスコアを算出する方式。 Google Search Central Blog|reCAPTCHA v3 の紹介: bot の活動を阻止する新しい方法
reCAPTCHAの無料枠が大幅変更|あなたのサイトは大丈夫?
ボット対策機能「Google reCAPTCHA」が、2024年8月から無料利用の上限を
月100万回 → 月1万回 へと大幅に引き下げました。
この変更はすでに実施されており、現在すでに上限超過による影響が出る可能性があります。
また、2025年末までには全ユーザーがGoogle Cloudプロジェクトへ移行することが義務化されています。
料金制度は2024年8月から適用開始、移行義務は2025年12月までという二段構えのスケジュールです。
【最新プラン概要(2025年7月時点)】
| プラン名 | 内容 | 月額料金(参考) |
| Essentials | 月1万アセスメントまで無料 | 無料 |
| Standard | 月1万〜10万アセスメントまで | $8(約¥1,160) |
| Enterprise | 10万回超過分:1,000回ごと | $1(約¥145) |
| サポート(オプション) | オンライン $100/担当者付 $15,000 | $100(約¥14,500)〜$15,000(¥2,175,000) |
このままreCAPTCHAを無料で使い続けるとどうなる?
このまま無料の「Essentialsプラン」で運用し続けることも可能ですが、すでに2024年8月から月1万回の上限は適用中です。
対策をしていない場合、予期せずサービスが停止する可能性があります。
【無料運用時のポイント】
- Google Cloudプロジェクトへ移行必須(2025年末まで)
- クレジットカード登録が必要(無料枠でも登録は必須)
- Google Cloudプロジェクトの作成・使用には、無料枠内でもクレジットカードの登録が必要です(本人確認用)。請求は発生しませんが、決済手段の登録は避けられません。
参照元:Google Cloud 無料枠
- Google Cloudプロジェクトの作成・使用には、無料枠内でもクレジットカードの登録が必要です(本人確認用)。請求は発生しませんが、決済手段の登録は避けられません。
- Billing(課金設定)を有効化しない限りは、上限超過時に自動課金されず、サービスが停止します
| 状況 | 挙動 |
|---|---|
| 月1万回超+課金未設定 | APIが429エラーを返し、reCAPTCHAが機能停止 |
| 月1万回超+課金設定済 | 自動でStandardへ移行(月$8課金) |
【通知を受けるには?】
Googleからの通知は基本的に自動送信されません。
Cloud Monitoringを使って「アセスメント件数を監視」し、件数が9,000回などのしきい値を超えた場合にメール通知を設定しておくことが推奨されます。
参照元:課金アラートを設定する
無料のまま使い続ける手順
- Google Cloud Consoleで新規プロジェクトを作成(reCAPTCHA専用にすると管理が楽)
- reCAPTCHA Enterprise APIを有効化
- reCAPTCHA管理画面でサイトアクションの登録(ドメイン登録とEnterpriseキー作成)
- クレジットカードを登録(課金は発生しませんが、本人確認のため必須)
- Monitoringでアラート設定(件数ベース通知を設定)
誤解しやすいポイントと現時点での不明点
| 項目 | 内容 | 懸念 |
|---|---|---|
| API課金の対象 | CreateAssessment以外のAPIも対象か? | 公式に明記なし、一部では課金の可能性もアリ |
| 失敗時の課金 | Botと判定された失敗でも課金? | 攻撃リスクと結びつく恐れあり |
| 移行時の費用 | Essentialsなら無料だが条件次第で課金? | 上限超過中の移行に注意 |
| サポート価格 | +100ドル(14,500円)/月と+15,000ドル(2,175,000円)/月の間に選択肢なし | 中小規模にはハードルが高い |
| 上限通知の有無 | Googleから通知なし | 自前のMonitoring必須 |
| アセスメント数の計上 | ユーザー1人=1件とは限らない | 実装方法で消費数が異なる |
Google reCAPTCHA代替サービス2選
Google reCAPTCHAの無料枠縮小やGoogle cloud移行を機に、別のサービスを検討している方もいるかと思います。
ここでは、数ある選択肢の中から、特に代表的で信頼できる2つのreCAPTCHAに代わるサービスをご紹介します。
| サービス名 | 特徴 | 無料枠 | 有料プラン |
|---|---|---|---|
| hCaptcha | プライバシー重視・画像選択方式。広告が表示される可能性あり | 月100万回まで | 従量課金あり |
| Cloudflare Turnstile | ノーチェックUI型でUXが非常に優秀。完全無料プランあり | 無制限(チャレンジ回数制限なし) | Enterpriseプランあり(月$1,000〜) |
1. hCaptcha について
hCaptcha(エイチキャプチャ)は、プライバシー保護を重視した画像認証型CAPTCHAです。Google reCAPTCHAの代替として多くのサイトで採用されています。
- 無料プラン(月100万リクエストまで)があり、基本機能の多くを無償で利用可能。
- 従量課金制のProプランも提供されており、大規模サイトやSLAが必要な事業者向けのオプションもあります。
- 広告収益モデルを採用しており、ユーザーに広告を表示して収益を得ることができる点が特徴です。
2. Cloudflare Turnstile について
Turnstile(ターンスタイル) はGoogle reCAPTCHA より高性能かつ完全無料として注目を集めている次世代のCAPTCHA代替サービスです。
- Turnstile の基本機能は誰でも無料で利用可能。チャレンジ回数は完全無制限、API連携にも対応しています。
- 一方で、ウィジェット数(最大20個)やホスト数(最大15件/ウィジェット)に制限があり、大規模な運用にはEnterprise(有料)プラン(月$1,000〜)の検討が必要です。
- チェックボックスや画像認証の必要がなく、バックグラウンドで自動判定が行われるため、UX(ユーザー体験)が非常に優れており、ユーザーの離脱率を大きく低減できます。
こちら、reCAPTCHA の代替ツール「Turnstile (ターンスタイル)」の登録方法から設置手順まで詳しくまとめた記事です。
まとめ|これからどうする?
- 月1万件未満の小規模サイトであれば、
まずは GoogleCloudのEssentials プラン+基本的なMonitoring構成で十分に対応可能です。
費用を抑えつつ、信頼性の高いセキュリティ対策が実現できます - 今後アクセス増加が見込まれる場合は、
早めに GoogleCloud Standard プランや他のWAF/CDNサービスへの移行を視野に入れておくと、移行時の混乱を防げてスムーズです。 - フォーム送信・ログインなどでreCAPTCHAを多用しているサイトは、
Cloudflare Turnstile や hCaptcha などの代替サービスを試しておくことを推奨します。
UX改善・費用削減・プライバシー配慮の観点からも有効です。
それでは、また次の記事でお会いしましょう!
コメント