2026 年 5 月、Google は再CAPTCHAの進化版として「Google Cloud Fraud Defense」を発表し、ユーザーがスマホのカメラで QR コードをスキャンして人間的な存在を証明する仕組みを導入しました。この発表は、2023 年に標準化団体からの強い反対を受け、事実上撤回された「Web Environment Integrity（WEI）」計画と本質的に同一の基盤技術を使用しているとの批判が専門家の間で広がっています。 WEI 計画当初は、ブラウザがハードウェアの暗号化署名を検証して改ざんがないことを確認する仕組みを提案していましたが、Mozilla や電子フロンティア財団などから、インターネットが特定の企業やデバイスベンダーに支配されるゲート化の恐れがあるとして反対されました。結局、Google はこの計画を撤回しました。しかし、今回発表された新しいサービスでは、認証に使用する端末が「Google Play Services がインストールされた最新の Android デバイス」であるか「iPhone/iPad」であるかを厳格に検証しています。これは、Google のクローズドソース層を経由した「Play 完全性 API」を用いたデバイス証明を前提とした仕組みであり、技術的な制約ではなく意図的な設計によるものです。 この認証方式には実用的な欠陥と深刻なリスクが指摘されています。まず、ボット運営者は数百ドル程度の費用で認証可能な中古スマホを大量に購入すれば、QR コードを画面に映して自動で認証を突破できるため、実効性は限定的です。さらに、ユーザーに QR コードの常時スキャンを促す行為は、フィッシング詐欺の標的となりやすくなります。実際、一般ユーザーが本物の認証 QR コードと悪意ある詐欺 QR コードを見分けることは不可能であり、セキュリティ上の新たな脆弱性を生む恐れがあります。 最も懸念されるのは、プライバシーの侵害とインターネットの分断です。このシステムは Google Play Services に依存するため、GrapheneOS や LineageOS など、プライバシー保護を重視して Google サービスを排除した OS を使用しているユーザーや、Firefox ブラウザ利用者などは、ボットではないのにアクセス自体を拒否されることになります。さらに、認証が成功するたびに Google は、どの認証済みハードウェアがどのサイトを訪れたかという追跡情報を蓄積することになり、ユーザーの行動履歴が恒久的に特定される構造になっています。これに対して、計算資源を消費する Proof of Work 方式など、ハードウェアIDを必要とせずプライバシーを保護する代替技術も存在しています。結果として、Google の新サービスはボット対策として機能するどころか、既存のセキュリティ技術への疑問と、開かれたインターネットのガバナンスにおける新たな問題を生み出しています。