このコンテンツは自動機械翻訳サービスによる翻訳版であり、皆さまの便宜のために提供しています。原本の英語版と異なる誤り、省略、解釈の微妙な違いが含まれる場合があります。ご不明な点がある場合は、英語版原本をご確認ください。
本日、Cloudflareは、アカウントの不正利用を事前に阻止するよう設計された、新しい詐欺防止機能スイートを導入します。Cloudflareは長年、Cloudflareのお客様が自動化された攻撃からアプリケーションを保護できるよう支援してきましたが、脅威の状況は変化しています。自動と人間のハイブリッド型攻撃が産業化することは、Webサイト所有者に複雑なセキュリティ上の課題を突き付けています。たとえば、同じ5分間にニューヨーク、ロンドン、サンフランシスコからアクセスされる単一のアカウントがあるとします。この場合の核となる質問は、「これは自動化されているか?」ではありません。「これが本物なのか?」と。
Webサイトの所有者は、送信者が誰であるかに関係なく、Webサイト上の不正利用を阻止するためのツールを必要としています。
2024年のバースデーウィークでは、Freeプランのすべてのお客様を含むすべてのお客様に、漏洩認証情報の検出機能をプレゼントしました。以来、ボット管理ソリューションの一環としてアカウント乗っ取り検出IDを追加し、ログインページを攻撃するボットの特定に役立ててきました。
そして今、これらの強力なツールと新しいツールを組み合わせています。使い捨てメールチェックとメールリスクにより、使い捨てメールアドレスでサインアップしたユーザー、または、偽アカウントの作成やプロモーションの悪用でよく使われる手口、またはメールパターンやインフラストラクチャからメールが危険と判断されるユーザーに対して、セキュリティ設定を適用するのに役立ちます。また、ハッシュ化されたユーザーID(ユーザー名を暗号的にハッシュ化することで生成されるドメインごとの識別子)を導入できることを嬉しく思います。これは、エンドユーザーのプライバシーを侵害することなく、不審なアカウントアクティビティについてより優れた洞察を提供し、不正の可能性があるトラフィックを軽減する能力をお客様に提供します。
本日発表する新機能は、自動化を超えて、人間のユーザーとボットの間の不正な動作や危険なIDを特定しますとボット。Account Abuse Protectionは早期アクセスとして利用可能であり、ボット管理のEnterpriseプランのお客様は、今年後半のCloudflare詐欺防止の一般提供までの期間限定でこれらの機能を追加費用なしで使用できます。この早期アクセス機能についてさらに詳しく知りたい方は、こちらからご登録ください。
漏洩した認証情報により、ログインがあまりにも脆弱になる
特に、膨大なデータセットが利用可能であり、アカウント詐欺を大規模に実行できる自動化ツールへのアクセスがある場合、不正行為の参入障壁は危険なほど低くなります。Webサイトの所有者は、個々のハッカーへの対応だけでなく、業界化された詐欺にも対処しなければなりません。昨年、当社は、ネットワーク全体のログインの41%が漏洩した認証情報を使用していることを強調しました。この数は、160億件のレコードを保持するデータベースが露出した後、増加の一途をたどっています。そして、それ以来、複数の大規模侵害が起きています。
さらに、ユーザーは複数のプラットフォームでパスワードを再利用するため、何年も前に消費したパスワードが一度漏洩しても、現在でも高価値の小売アカウントや銀行口座のロックが解除される可能性があります。弊社の漏えいした認証情報チェックは、インターネット上の別のサービスまたはアプリケーションの既知のデータ侵害でパスワードが漏えいしたかどうかを確認する無料機能です。これは、侵害された認証情報からユーザーを保護する、プライバシーを保護する認証情報チェックサービスです。つまり、Cloudflareは、平文のエンドユーザーパスワードにアクセスしたり保存したりすることなく、これらのチェックを実行します。パスワードは、漏洩した資格情報のデータベースと比較する目的のために、暗号アルゴリズムを使用してランダムな文字列に変換され、ハッシュ化されます。資格情報漏洩チェックをまだ有効にしていない場合は、今すぐ有効にしてアカウントを容易なハッキングから保護しましょう!
漏洩した資格情報の大規模なデータベースへのアクセスは、攻撃者が多くのサイト間をすばやく循環して、パスワードの再利用によってどのアカウントがまだ脆弱であるかを特定できる場合にのみ有効です。2024年のブラックフライデーの分析によると、当社のネットワーク全体のログインページへのトラフィックの60%以上が自動化されていることが判明しました。それは、多くのボットが侵入しようとするからです。
お客様がログインエンドポイントを絶え間ない攻撃から保護できるように、アカウント乗っ取り (ATO) に特化した検出を追加し、疑わしいトラフィックパターンを強調表示するようにしました。これは、最近重視している顧客ごとの検出の一環であり、ボット管理のお客様ごとに固有の動作異常検出を提供します。現在、ボット管理のお客様は、ログインリクエストに含まれるATO攻撃の試みをセキュリティ分析ダッシュボード上で直接確認し、軽減することができます。
セキュリティ分析ダッシュボード内の左側のカードでは、アカウント乗っ取り攻撃の試行を確認し、対処することができます。
先週、当社のATO検出は、ネットワーク全体で毎日平均69億件の疑わしいログイン試行を捕捉しました。これらのATO検出は、当社のボット管理ソリューションに含まれる他の多くの検出メカニズムとともに、ATOやその他の悪意のある自動攻撃に対する多層防御を実現します。
自動化を見極めたいか、意図やアイデンティティを見極めたいか?それが質問なのです。私たちの答えは「イエス」です。どちらも堅牢なセキュリティ体制の重要なレイヤーであるからです。攻撃者は、これまで企業サービス向けに行われていた規模で活動しています。大量の認証情報の漏洩を活用し、人力による詐欺ファームでデバイスや場所を偽装し、合成IDを作成して、何千、場合によっては数百万もの偽のアカウントを維持し、プロモーションやプラットフォームを悪用します。自動化されたツールを使う人間は、アカウントからの流出、プロモーションの悪用、支払い詐欺、または上記のすべてを行っている可能性があります。
さらに、ユーザーがAIエージェントの使用に慣れるにつれて、自動化はかつてないほど身近なものになっています。また、長年存在する「従来の」ブラウザでさえ、デフォルトでエージェント機能を備える方向へ移行してきています。AIエージェントを使用する単独のアクターである場合でも、協調された詐欺キャンペーンである場合でも、脅威は単一のスクリプトほど単純なものではなく、自動化された実行によって、人間の意図に関与する可能性があります。
Cloudflareのお客様から寄せられた次のシナリオを考えてみましょう:
今月は1,000人の新規ユーザーがありますが、その半数以上は偽のIDプロバイダーで、無料お試しの恩恵を受け、その後、消えてしまいます。
攻撃者は正しいパスワードでログインしていたので、実際のユーザーではないとどうやって確信できるのでしょうか?
この組織は人間のペースで行動しており、アカウントに負荷を与えています。
これらの問題は、自動化を評価するだけでは解決できません。真正性と完全性を確認する必要があります。これは、当社の専門的な詐欺防止機能が対処するギャップです。
まず、アカウント不正利用の可能性がある最も早い段階であるアカウント作成を評価してみましょう。偽のアカウントや一括アカウントの作成は、攻撃者がアプリケーションやビジネスモデル全体にアクセスできるため、Webサイト詐欺に関する議論で最も大きなトピックの1つです。
Cloudflareは、以下の2つの方法で、ソースにおける不審なアカウント作成を評価するためのツールをお客様に提供します。
使い捨てメールチェック: ユーザーが、プロモーションの悪用や偽アカウントの作成によく使われる使い捨てメールアドレスで登録したことを検出します。これらの使い捨てメールサービスでは、攻撃者は実際のインフラストラクチャを維持することなく、何千もの「固有」アカウントを作成することができます。特に、アカウントの作成や無料で無制限のメールエイリアスを必要とせずに、認証されていない使い捨てメールを使用することができます。お客様は、このバイナリフィールドを使用して、セキュリティ設定を適用するルールを作成したり、使い捨てのメールを完全にブロックするよう選択したり、使い捨てのメールアドレスでアカウントを作成しようとする人にチャレンジを課したりすることができます。
メールリスク:Cloudflareはメールのパターンとインフラストラクチャを分析し、お客様がセキュリティルールで使用できるリスク階層(低、中、高)を提供します。すべてのメールアドレスが同じように作成されるわけではないことは承知しています。firstname.lastname@knowndomain.comのような形式のアドレスは、xk7q9m2p@newdomain.xyzとは異なるリスク特性を持っています。メールリスク階層化により、顧客はアカウント作成時にリスクや摩擦に対する許容度を表明することができます。
削除可能なメールチェックとメールリスクの両方をセキュリティ分析とセキュリティルールで利用できるようになり、Webサイト所有者はアカウント作成フローを保護することができます。これらの検出は、アカウントが不正利用を仕掛けた時点で、すでに手遅れであるという根本的な問題に対処しています。Webサイト所有者はすでに取得費用を支払っており、不正ユーザーはプロモーションクレジットを消費しており、修復には手動によるレビューが必要です。不審なメールを軽減することは、サインアップ時、つまり、最も重要な瞬間に適切な摩擦をもたらすことを意味します。
不正利用のパターンを把握するには、ネットワークだけでなく、アカウントのアクティビティの可視性が必要です。従来、セキュリティとは、IPや分離されたHTTPリクエストのレンズを通して自動化されたアクティビティを検出することを意味していましたが、ウェブサイトの所有者はネットワーク信号だけでなく、ユーザーや既知のアカウントも考慮しています。そこで、アプリケーションの実際の構造に合わせて、軽減ツールボックスを拡張し、ユーザーベースの不正行為検出に重点を置いています。
攻撃者は、容易にIPをローテーションしてその痕跡を隠すことができます。しかし、新しい信頼できるアカウントを繰り返し作成するよう強制すると、特にアカウント作成の保護と組み合わせた場合、大きな摩擦が生じます。ネットワーク層を超えて、特定の侵害されたアカウントや不正行為のあるアカウントに不正行為をマッピングすることで、単一の執拗なアクターにつながった標的型攻撃を発見し、不正行為を食い止めることができます。このようにして、防御戦略をアカウントレベルに移行しています。これは、IPアドレスのローテーションや家庭用プロキシを使った「場当たり的な対処」ではありません。つまり、お客様は、アプリケーションがIDを分離する方法に基づいて、不正な動作を軽減できるのです。
この機能でWebサイト所有者を保護するために、Cloudflareは、お客様がハッシュ化されたユーザーIDをセキュリティ分析、セキュリティルール、およびマネージドトランスフォームで使用できるようにリリースします。ユーザーIDは、ユーザー名フィールドの値をドメインごとに暗号ハッシュしたもので、各ユーザーIDはお客様のアプリケーションで特定のユーザー名に対して生成された、暗号化された一意で安定した識別子です。重要なのは、実際のユーザー名がこのサービスの一部としてCloudflareにログにも保存されていないことです。ログイントラフィックを識別し、比較のために認証情報を暗号化する漏洩認証情報チェックとATO検出と同様に、Cloudflareは、エンドユーザーのプライバシーを優先し、お客様が不正行為に対して対策を講じられるよう支援します。
ハッシュ化されたユーザーIDにアクセスすることで、Webサイト所有者は以下のことが可能になります。
上位ユーザーを見る:最も多く活動しているアカウントは?
ユーザーが通常設定しない国からログインしている、または1日で複数の国からログインしている
不審なアクティビティを持つユーザーをブロックするなど、ユニークユーザーに基づいてトラフィックを軽減します。
フィールドを組み合わせて、漏洩した認証情報を使ってアカウントが標的にされているかどうかを確認しましょう。
ユニークユーザーにどのようなネットワークパターンやシグナルが関連付けられているかを表示します。
セキュリティ分析ダッシュボード内の単一のハッシュ化されたユーザーIDの拡大された表示で、ログイン場所やブラウザーなど、そのユニークユーザーのアクティビティの詳細が表示されます。
このユーザーレベルの可視性により、Webサイトの所有者は、トラフィックの調査・軽減方法を変革することができます。当社のお客様は、個々のリクエストを個別に調べるのではなく、攻撃者が正当なユーザーの間を標的にし、隠れている方法の全体像を把握できます。
この早期アクセス機能についてさらに詳しく知りたい方は、こちらからご登録ください。ボット管理Enterpriseプランをご利用のすべてのお客様は、本日よりこれらの新しいアカウント不正使用防止機能を追加できます。また、ボット管理の導入をご検討中のお客様との対話をぜひ開始したいと考えております。
ボット検出が自動化と意図という問題に引き続き答えを出しますが、不正検出は真正性の問題を掘り下げます。これらを組み合わせることで、Webサイト所有者は、Spectrumのアカウントの不正利用に対抗するための包括的なツールを提供することができます。このスイートは、アカウント作成とログインから、チェックアウトの安全性、すべてのインタラクションの完全性まで、ユーザー利用体験全体を保護するために、当社が継続的に投資を行っている一環です。