DocsDigest
Back to listLanguage: JA
OpenAICloudflareMar 12, 2026, 5:00 AM

Announcing Cloudflare Account Abuse Protection: prevent fraudulent attacks from bots and humans

A condensed section focused on the key takeaways first.

Original Post
OpenAIClaude

Quick Digest

Summary

A condensed section focused on the key takeaways first.

openaienmodel: gpt-5-mini-2025-08-07

Cloudflare Account Abuse Protection (Early Access)

fraud-preventionbot-managementaccount-securityhashed-user-idleaked-credentialsemail-risk

Key Points

  • Early Access: Account Abuse Protection
  • Hashed User IDs enable account-level mitigation
  • Disposable-email, email-risk, leaked-credential and ATO detections

Summary

Cloudflare announced Account Abuse Protection, a suite of fraud-prevention features that extend bot detection to evaluate authenticity and identity for account-level abuse. The release combines leaked-credential checks, account-takeover (ATO) detections, disposable-email and email-risk signals, and a new Hashed User ID to enable privacy-preserving, user-focused mitigations. This is available in Early Access to Bot Management Enterprise customers at no additional cost until general availability of Cloudflare Fraud Prevention later this year.

Key Points

  • What it includes:

    • Leaked-credential check (privacy-preserving, hashes only) to flag compromised passwords; Cloudflare previously reported ~41% of logins used leaked credentials.
    • Account-takeover (ATO) detections integrated into Bot Management and Security analytics (recently caught ~6.9B suspicious login attempts per day on average).
    • Disposable email check and email-risk tiers (low/medium/high) to gate or add friction at signup.
    • Hashed User IDs: per-domain, cryptographically hashed usernames for account-level visibility and mitigation without logging plaintext usernames.

  • Where to use them:

    • Security analytics: investigate account-level activity and ATO trends.
    • Security rules: block/challenge based on disposable email, email-risk, ATO signals, or Hashed User ID.
    • Managed Transforms: ingest Hashed User IDs into downstream workflows or logs.

  • Practical guidance for engineers:

    • Enable the leaked-credential check if not already active.
    • Add disposable-email and email-risk evaluations to signup flow rules to reduce fake-account creation.
    • Use Hashed User IDs to correlate activity across requests and apply per-account mitigations (block, rate-limit, challenge) rather than relying on IP-only signals.
    • Combine ATO detections with Hashed User ID and leaked-credential signals to prioritize investigation and automated responses.

  • Privacy and limits:

    • Passwords and usernames are hashed; plaintext credentials/usernames are not stored by Cloudflare as part of these checks.
    • Early Access: available to Bot Management Enterprise customers now; free during the Early Access period ahead of GA.

Next steps

  • Enable or review leaked-credential checks and ATO detections in Security analytics.
  • Integrate disposable-email and email-risk checks into signup and account-creation rules.
  • Start using Hashed User IDs in Security rules and Managed Transforms to shift defenses to the account level.

Full Translation

Translations

A translation section that keeps the flow of the original article.

openaijamodel: gpt-5-mini-2025-08-07

Cloudflare Account Abuse Protection を発表:ボットと人間による不正攻撃を防ぐ

概要

Cloudflare は本日、アカウント濫用(Account Abuse)を未然に防ぐための新しい不正防止機能群「Account Abuse Protection」を発表します。これまで自動化攻撃からアプリケーションを守るための機能を提供してきましたが、脅威の状況は進化しています。自動化と人手が組み合わさったハイブリッド型の濫用は、ウェブサイト運営者にとって複雑なセキュリティ課題を突きつけます。たとえば、同じ5分間にあるアカウントがニューヨーク、ロンドン、サンフランシスコから同時にアクセスされた場合、「自動化されているか?」ではなく「このアクセスは本物か?」が重要になります。ウェブサイト所有者は、攻撃者がボットであろうと人間であろうと、どちらからでも濫用を止められるツールが必要です。

  • 発表日: 2026-03-12
  • 著者: Jin-Hee Lee
  • 読了時間: 約7分

背景と最近の取り組み

  • 2024年の Birthday Week に、すべての顧客(Free プランを含む)に対して leaked credentials 検出を提供しました。
  • その後、Bot Management に ATO(account takeover)検出を追加し、ログインページを狙うボットを特定しやすくしました。
  • 本日、これら既存機能に加え、新たな検出と指標を組み合わせて提供します。

新機能には次が含まれます。

  • Disposable email check と Email risk:使い捨てメールやリスクの高いメールを評価し、偽アカウント作成やプロモーション濫用を防止。
  • Hashed User IDs:ユーザー名を暗号学的にハッシュしたドメイン毎の識別子により、エンドユーザーのプライバシーを損なわずに疑わしいアカウント活動を可視化・対処。

これらは自動化だけでなく、人間のユーザーやボットを含む不正な行為やリスクの高いアイデンティティを識別します。

Account Abuse Protection は Early Access で提供されており、Bot Management Enterprise の全顧客は本機能を追加費用なしで一定期間利用できます(今年後半に Cloudflare Fraud Prevention が一般公開されるまで)。本 Early Access について詳しく知りたい方は、サインアップはこちら。

漏えいした認証情報(leaked credentials)がログインを脆弱にする理由

大規模データセットと自動化ツールの普及により、不正の敷居は非常に低くなっています。ウェブサイト運営者は個人のハッカーだけでなく、産業化された不正と対峙しています。

  • 当社ネットワーク全体のログインのうち 41% が leaked credentials を利用していると報告しました。これは、160億件のレコードを含むデータベースの露出などを受けてさらに増加しています。
  • ユーザーが複数サイトでパスワードを使い回すため、数年前の漏えいが今でも高価値アカウント(小売や銀行など)を開けてしまうことがあります。

Cloudflare の leaked credential check は無料で利用できる機能で、既知の他サービスのデータ漏えいにパスワードが含まれているかをチェックします。プライバシー保護を重視しており、エンドユーザーの平文パスワードへアクセスしたり保存したりすることはありません。確認のためにパスワードはハッシュ化(暗号学的アルゴリズムで文字列に変換)され、漏えいデータベースと比較されます。

まだ有効化していない場合は、leaked credential check を有効にしてアカウントを保護してください。

自動化の脅威とログインページに対するボット

大量の漏えいデータベースを攻撃者が高速で使い回すと、複数サイトに対して短時間で脆弱なアカウントを突き止められます。2024年の Black Friday 分析では、ログインページへのトラフィックの60%以上が自動化されていることを観測しました。

そのため、ログインエンドポイントを守るべく、我々は ATO(account takeover)向けの検出を追加しました。これらは per-customer detections の一部で、各 Bot Management 顧客ごとに固有の行動異常検出を提供します。現在、Bot Management の顧客は Security analytics ダッシュボード上で ATO 攻撃の試行を確認し、対処できます。

最近1週間では、当社の ATO 検出はネットワーク全体で日次平均 69億(6.9 billion)の疑わしいログイン試行を検出しました。

これらの ATO 検出は、Bot Management の他の検出メカニズムと組み合わせることで、ATO やその他の悪意のある自動攻撃に対する多層防御を形成します。

自動化か意図とアイデンティティか――両方が重要

「自動化を見分けるか?それとも意図とアイデンティティを見分けるか?」という問いに対する答えは両方、です。攻撃者は大規模な認証情報漏えいを活用し、人手の詐欺チームでデバイスやロケーションを偽装し、合成アイデンティティで何千、何百万もの偽アカウントを運用します。人間が自動化ツールを使うことで、口座の引き出し、プロモーション濫用、決済詐欺などが行われます。

自動化が単独で行われる場合もあれば、AIエージェントや従来のブラウザのエージェント化などにより、人手と自動化が混在する場合もあります。例えば顧客からは次のような相談が寄せられています。

  • 「今月 1,000 人の新規ユーザーがいるが、半数以上が偽アカウントでフリートライアルを消費してすぐ消える」
  • 「攻撃者は正しいパスワードでログインしている。どうすれば本物のユーザーと区別できるか?」
  • 「この主体は人間のペースで行動し、アカウントを枯渇させている」

これらは単に自動化の評価だけでは解けない問題で、真正性(authenticity)と整合性(integrity)をチェックする必要があります。Account Abuse Protection はまさにこのギャップを埋めます。

アカウント作成時の疑わしいメールの評価

不正アカウント作成は、攻撃者がアプリケーションやビジネスモデル自体を悪用する入口になり得ます。Cloudflare はアカウント作成段階での疑わしい振る舞いを2つの方法で評価します。

  • Disposable email check

    • 使い捨て(throwaway)メールアドレスでのサインアップを検出します。
    • こうしたサービスは、認証不要の即時アクセスや無制限のエイリアスを提供することがあり、攻撃者は本当のインフラを用意せずに数千の"一意な"アカウントを作れます。
    • 顧客はこのバイナリフィールドを利用して、使い捨てメールを完全にブロックするか、チャレンジを課すなどのルールを構築できます。

  • Email risk

    • メールアドレスのパターンやインフラストラクチャを分析し、low / medium / high のリスク階層を返します。
    • たとえば [email protected] のような形式と [email protected] のような形式ではリスク特性が異なります。
    • Email risk の階層により、顧客はアカウント作成時点でのリスク許容度やフリクションを柔軟に設定できます。

両機能とも Security analytics と Security rules で利用可能になり、アカウント作成フローで適切な摩擦を追加することで、被害が発生してから手動で対応するよりも早い段階で不正を防げます。

Hashed User IDs の導入

不正のパターンを理解するには、ネットワークだけでなくアカウント活動の可視化が必要です。従来は IP や個々の HTTP リクエストの観点で自動化を検出してきましたが、アプリケーションはユーザーや既知のアカウントを基準に設計されているため、検出も同様にアカウント単位で行うべきです。

攻撃者は IP を容易に回転させますが、同一の信頼できるアカウントを繰り返し作ることは大きな摩擦になります。ネットワーク層を越えて不正を特定し、単一の持続的な主体に紐づく悪意ある行動をマッピングできれば、回転する IP に対処するだけの手間を減らせます。

そのため Cloudflare は Hashed User ID を提供します。主なポイントは以下の通りです。

  • Hashed User IDs はドメイン毎に生成される、ユーザー名フィールドの暗号学的ハッシュ化された値です。
  • 各 User ID は暗号化され、一意で安定した識別子として同一のユーザー名に対して生成されます。
  • 実際のユーザー名はこのサービスの一部として Cloudflare 側にログ保存されません。
  • leaked credentials check や ATO 検出と同様に、エンドユーザープライバシーを優先しつつ顧客が対処できるように設計されています。

Hashed User IDs により、ウェブサイト所有者は次のことができるようになります。

  • 上位ユーザーの確認:どのアカウントに最も活動があるかを見る。
  • 同一ユーザーが普段アクセスしない国からログインしている、または同日に複数の国からログインしている等を検出する。
  • 過去に疑わしい活動のあるユーザーをブロックするなど、ユニークユーザー単位でトラフィックを軽減するルールを適用する。
  • アカウントが leaked credentials の標的になっているかなど、複数フィールドを組み合わせて解析する。
  • 特定ユーザーに関連するネットワークパターンやシグナルを確認する。

Security analytics ダッシュボード内で単一の Hashed User ID の拡張ビューを見ると、そのユーザーのログイン位置やブラウザなど活動の詳細が表示され、個々のリクエストを孤立して調べる代わりに、攻撃が正規ユーザーの中でどのように隠れているかを全体像として把握できます。

導入・次のステップ

  • 本 Early Access 機能について詳しく知りたい方は、サインアップはこちら。
  • 全ての Bot Management Enterprise 顧客は本日からこれらの Account Abuse Protection 機能を利用可能です。
  • Bot 検出は自動化と意図の問いに答え続けますが、Fraud 検出は真正性の問いに踏み込みます。両者を組み合わせることで、ウェブサイト所有者はより強固なアカウント保護を実現できます。

ご興味がある Bot Management の見込み顧客の皆様ともぜひ対話を始めたいと考えています。