本物の見込み客を遠ざけないSaaS向けCAPTCHA
偽サインアップ、無料トライアルのスクレイピング、クレデンシャルスタッフィング — 本物の見込み客をサインアップで離脱させずに止めます。
この画面が直面する脅威
無料プランでの不正アカウント量産
ボットが数千の無料プランアカウントを作り、トライアルクレジットを使い尽くし、AI/APIのクォータをスクレイピングし、後続の悪用の足場を作ります。「新規ユーザー」の30%がボットなら、CLVの計算は横道にそれます。
ログインへのクレデンシャルスタッフィング
他の漏洩で流出した認証情報がログインフォームに大量投入されます。10万件のリストに対して命中率がわずか0.1%でも100件の乗っ取りになり、B2B SaaSの乗っ取りはチャージバックだけでなくデータ持ち出しと相関します。
AI / APIクレジット目当ての無料トライアル乱獲
AI特化型のSaaSは特に晒されています。真新しい無料トライアルアカウントは推論クォータという実際の金額の価値があります。ボットはサインアップ→クォータ消費→破棄を高速ループで自動化します。サインアップにCAPTCHAを置くことで、これが採算の取れるものから高コストなものに変わります。
決済手段のテスト攻撃
有料アップグレードを受け付けるなら、アップグレードページがカードテストの標的になります。特に摩擦の少ないサブスクリプションフローで顕著です。EC決済の悪用と同じ形で、量は少なめですが現実の脅威です。
SaaSサインアップファネルのどこにCAPTCHAを置くか
どこにでも置くのは禁物です。トライアルのコンバージョンを壊します。ボットが実際に当たる地点に置くのが正解です。
- サインアップ / 無料トライアル作成
最も価値の高い設置箇所。ここにCAPTCHAを一つ置けば、ほとんどの不正アカウント量産を止められ、適応型の難易度で本物の見込み客には見えないままです。
- ログインとSSOパスワードリセット
本物のユーザーを締め出さないクレデンシャルスタッフィング対策。レート制限と相性が良いです。
- 有料プランへのアップグレード
決済フローのカードテスト対策。軽めの設置で十分です。多くのアップグレードはログイン済みユーザーからのものだからです。
- チーム招待の承認
侵害されたアカウントからの大量招待スパムを止めます。見落とされがちです。
- APIキーの作成
侵害されたセッションが無制限にキーを生成するのを抑えます。最前線ではなく多層防御です。
- ヘルプデスク / 問い合わせフォーム
本物のサポートを埋もれさせるスパムチケットを止めます。安価な保険です。
よくある質問
サインアップにCAPTCHAを置くとトライアルのコンバージョンが下がりませんか?
適応型CAPTCHAはそうならないよう設計されています。ほとんどの本物の見込み客にはワンクリックか、何も見えません。可視チャレンジを受ける1〜3%は、同時に最もリスクの高いトラフィックでもあります。並行比較では、CAPTCHAなし(ボットのサインアップがファネルを希釈する)と比べて、トライアルのコンバージョンは横ばいか微増を示すのが一般的です。
CaptchaLaは私たちの認証プロバイダ(Auth0、Clerk、Supabase、Firebase)で動きますか?
はい。CaptchaLaはあらゆる認証プロバイダの手前で動作します。サインアップフォーム(あなたのUI)にウィジェットを注入し、プロバイダのサインアップAPIを呼ぶ前にサーバー側でトークンを検証します。このパターンは主要プロバイダごとにドキュメントで解説しています。
本物の見込み客とボットのサインアップをどう見分けますか?
CaptchaLaは検証ごとにリスクスコアを返します。そのスコアを下流のサインアップ計測に渡すことで、分析が「高信頼サインアップ」と「検証済みだがリスク上昇」を区別でき、コホートを正直に評価できます。
エンタープライズ顧客のSSOフローはどうですか?
SSOフローには通常CAPTCHAは不要です。アイデンティティはすでに確立されています。メール/パスワードのフォールバックフロー、パスワードリセット、そしてセルフサーブのステップを含む場合の初回SSO接続設定にCAPTCHAを適用してください。