reCAPTCHA が電話認証を求め始めた

2026 年 5 月初旬、reCAPTCHA は一部ユーザーに QR コードをスキャンしてスマートフォンで認証する、奇妙なフローを導入しました。その方針の結果、Android の検証にも最新の Google Play Services が必要になりました。

サイト運営者から見ると、コンバージョンが下がる変更に見えるかもしれません。実際はそれ以上です。

Galaxy など一般的な Android ではイライラしつつ通過できるかもしれません。GrapheneOS、LineageOS、/e/OS など Google サービスを外した端末では、通過できずボット扱いになることがあります。

何が変わったか

reCAPTCHA は以前、安全そうなユーザーは静かに通し、怪しいユーザーや Google にログインしていないユーザーには信号機パズルなどの煩わしいチャレンジを出していました。

5 月初旬、Google は怪しいユーザー向けに、PC に QR コードを表示し、スマートフォンで認証を完了させる分かりにくいフローを追加しました。

大々的な告知はありませんでした。カスタム ROM ユーザーが突然拒否されるようになったとき、開発者が気づきました。5 月 7〜8 日頃、Android Authority、PiunikaWeb、OSNews、Reclaim The Net が報じ、r/degoogle のスレッド は約 1,000 アップvote に達しました。

誰がブロックされるか

新フローは、iOS 16 以降で reCAPTCHA アプリが入った iPhone、または Google 認証済み Android で Play Services が最新であることを前提にしています。Play Services がない、無効、古い、または 25.41.30 未満だと、Google はそのユーザーをボット扱いにできます。

GrapheneOS ユーザーは典型的な例です。Google サービスを避けるために入れる人が多く、その選択が reCAPTCHA 通過を妨げることがあります。

LineageOS、CalyxOS、/e/OS などのカスタム ROM でも同様です。

カスタム ROM ユーザーは少数だと思われがちですが、Play Services のない端末は趣味の ROM に限りません。

• 2019 年以降の Huawei 端末
• Universal Android Debloater などで Play Services を削除した端末
• Google 認証が完全でないハードウェア
• 意図的に Play Services を無効にしたプライバシー重視の利用者

一般的な EC サイトでは割合は小さいかもしれません。VPN、暗号資産ツール、セキュアメッセンジャー、プライバシーブログ、開発者向けツールでは、はるかに目立ちます。

ロックインの問題

Google は不正防止に必要な変更だと説明します。悪意のある利用者は止まるでしょう。普通の利用者も止まります。

reCAPTCHA はエコシステムの関門になりつつあります。reCAPTCHA を使うサイトは、訪問者が Google 認証済み Android 基盤を持つことを暗に求めます。

ウェブフォームにとって重い互換性要件です。

reCAPTCHA と PrivateStater キャプチャ

サイト運営者はどうする?

reCAPTCHA はやめてください。代替はたくさんあります。このガイドで比較しました。

やめる理由はこれだけではありません。上の記事を読めば、なぜそう言うのかわかるはずです。

PrivateStater が依存を避ける仕組み

PrivateStater キャプチャは私のサーバーでチャレンジを検証します。別デバイスで認証させるような常識外れのことはしません。

1. スライドパズル: 簡単なドラッグチャレンジを完了します。
2. Proof of Work: ブラウザが動的な Argon2id チャレンジを解きます。
3. ヘニーポット: 単純なボットが隠しフィールドを埋めると失敗します。

シンプルで、JavaScript が動くブラウザなら動きます。GrapheneOS、iOS、Linux、6 年前の Android、Chrome、Safari、普通の WebView でも。月 20,000 回の成功リクエストまで無料で、成功したリクエストだけがカウントされます。失敗は無料です。

より広い比較は reCAPTCHA 代替ガイドにまとめています。