What are Private Access Tokens?

Private Access Tokens (PATs) are cryptographic attestation tokens built on Privacy Pass (RFC 9576). A device proves it is a genuine browser or device through its platform, and the site receives a signed token instead of asking the user to solve a CAPTCHA. The token carries no identity, so the user is not tracked.

Does CaptchaLa replace CAPTCHAs with attestation tokens?

No. CaptchaLa ingests attestation tokens as one trust signal. When a verified token is present, a low-risk user can pass without a challenge. When it is absent or cannot be verified, CaptchaLa falls back to its own risk-based verification. Attestation is additive, not a replacement.

Is PACT a shipping standard?

Not yet. PACT (Private Access Control Tokens) is a June 2026 proposal from Cloudflare, Chrome, Firefox, Edge and Shopify that extends Privacy Pass. It is an early proposal and is years from broad deployment. CaptchaLa supports the existing Private Access Tokens / Privacy Pass mechanism today and tracks the proposal as it develops.

Does attestation work the same on the web and in native apps?

No. On the web, CaptchaLa verifies Private Access Tokens against the issuer public key with no setup on your side. On iOS App Attest and Android Play Integrity, attestation is bound to the app developer identity, so it works only as an optional signal you configure for your own app. Otherwise native apps rely on CaptchaLa device and behavioral risk signals.

アテステーション対応

Private Access Tokens を信頼シグナルとして読み取ります。

業界では、ユーザーを特定せずにリクエストが実デバイスから来ていることを証明する、暗号的なアテステーショントークンが整備されつつあります。CaptchaLa はこうしたトークンを取り込み、検証済みの訪問者はチャレンジなしで通過させ、それ以外にはリスクベースの検証にフォールバックします。私たちはアテステーションを補完する存在であり、それに置き換えられるものではありません。

無料で始める CAPTCHA に戻る

アテステーショントークンとは

アテステーショントークンとは、リクエストが正規のブラウザまたはデバイスから来ていることを示す署名付きの宣言です。デバイスがそのプラットフォームに対して自身を証明し、プラットフォームがトークンを発行します。あなたのサイトは、ユーザーに CAPTCHA を解かせる代わりにそのトークンを受け取ります。トークンには識別情報が含まれないため、サイトをまたいでユーザーを追跡することはありません。

Web では、これは Private Access Tokens と Privacy Pass（RFC 9576）の上に構築されています。新しい拡張である PACT — Private Access Control Tokens — は、これらのトークンの発行と利用の幅を広げることを目的として、2026 年 6 月に Cloudflare、Chrome、Firefox、Edge、Shopify によって提案されました。

目的は、実ユーザーがチャレンジをより頻繁にスキップできるようにしつつ、検証を設計上プライベートに保つことです。

PACT は初期段階の提案であり、広く展開されるまでには数年を要します。CaptchaLa は既存の Private Access Tokens / Privacy Pass の仕組みに現時点で対応しており、提案の進展を追っています。いずれも、お客様が待つ必要はありません。

CaptchaLa での利用方法

私たちはアテステーショントークンを、判断のすべてではなく、複数ある信頼シグナルの 1 つとして扱います。流れはシンプルです:

トークンあり

検証済みトークンならチャレンジをスキップ

有効なアテステーショントークンが存在する場合、発行者の公開鍵に対して検証します。検証済みトークンを持つ低リスクの訪問者は、対話的なチャレンジなしで通過します。

トークンなし

リスクベースの検証にフォールバック

トークンが存在しない、または検証できない場合、CaptchaLa は独自のリスクエンジン（デバイス・ネットワーク・行動シグナル）を使用し、リクエストが疑わしい場合にのみチャレンジを表示します。

動作する範囲: Web とネイティブ

アテステーションはどこでも同じというわけではありません。何が自動で動作し、何に設定が必要かを正確にご説明します。

Web — Private Access Tokens / Privacy Pass

自動

Web では、CaptchaLa が Private Access Tokens を発行者の公開鍵に対して検証します。設定は不要です。対応するブラウザとデバイスがトークンを生成し、私たちがそれを読み取ります。

iOS App Attest / Android Play Integrity

任意・要設定

これらのネイティブアテステーションは、公開発行者ではなく、あなたのアプリ自身の開発者 ID に紐づいています。そのため、あなたが自身のアプリ向けに設定する任意のシグナルとしてのみ機能し、すべての人に対して自動で動作するものではありません。

その他のネイティブアプリ

独自のリスクシグナル

プラットフォームのアテステーションが設定されていない場合、ネイティブアプリは CaptchaLa 独自のデバイス・行動リスクシグナル（Web フォールバックを守るものと同じエンジン）に依拠します。

アテステーションは「実デバイス」を示します。私たちは「実在し、かつ悪用していない」を加えます。

アテステーションは、リクエストが正規のデバイスから来ていることを確認できます。しかし、そのデバイスがサービスを悪用するために使われているかどうかまでは分かりません。CaptchaLa の持続的な価値はそのギャップにあり、アテステーションが普及してもなくなることはありません。

クレデンシャルスタッフィング

盗まれたユーザー名とパスワードのリストを実行する実デバイスも、アテステーショントークンから見れば実デバイスのままです。私たちのリスクエンジンはそのパターンを検出します。

プロキシとボットファーム

多数の正規デバイスから行われる分散型の悪用は、アテステーションは通過しますが、行動およびネットワークのスコアリングで検出されます。

OTP と登録の悪用

大量のアカウント作成やワンタイムパスワードのファーミングは、実在する端末から行われます。私たちはデバイスの真正性だけでなく、意図をスコアリングします。

不正とコンテンツの悪用

決済詐欺、スパム、有害なアップロードは行動の問題であり、アテステーションでは測定できません。これらは私たちのリスクエンジンとコンテンツモデレーションが扱います。

アテステーションの準備が整ったときに対応し、今もお客様を守ります。

無料プランを含みます。クレジットカードは不要です。

無料アカウント作成 CAPTCHA を見る