Cloudflare Account Abuse Protection発表：ボットと人間による不正攻撃を防止

2026-03-12 Jin-Hee Lee 7分で読める

この投稿は、Français、한국어、Español、Рyсский、Nederlands、Deutschでもご利用いただけます。

本日、Cloudflareはアカウント悪用を未然に防ぐために設計された新しい不正防止機能スイートを発表します。私たちは長年にわたり、Cloudflareのお客様がアプリケーションを自動化攻撃から保護できるよう支援してきましたが、脅威の状況は進化しています。自動化と人間による悪用のハイブリッドな産業化は、ウェブサイト所有者にとって複雑なセキュリティ課題を提示しています。

例えば、同じ5分間でニューヨーク、ロンドン、サンフランシスコからアクセスされる単一のアカウントを考えてみてください。この場合の核心的な質問は「これは自動化されているか？」ではなく、「これは本物か？」です。ウェブサイト所有者には、誰からの攻撃であっても、自分のウェブサイトでの悪用を阻止するツールが必要です。

2024年のBirthday Weekでは、Freeプランを含むすべてのお客様に漏洩認証情報検出を提供しました。それ以来、ログインページを攻撃するボットを特定するために、ボット管理ソリューションの一部としてアカウント乗っ取り検出IDを追加しました。

今回、これらの強力なツールを新しいツールと組み合わせます。

• 使い捨てメール確認とメールリスクは、偽アカウント作成やプロモーション悪用の一般的な戦術である使い捨てメールアドレスでサインアップするユーザー、またはメールパターンとインフラストラクチャに基づいてリスクが高いと判断されるメールに対して、セキュリティ設定を適用するのに役立ちます。

• Hashed User IDの導入も発表します。これは、ユーザー名を暗号学的にハッシュ化することで生成されるドメインごとの識別子で、エンドユーザーのプライバシーを損なうことなく、疑わしいアカウント活動に対するより良い洞察と、潜在的に不正なトラフィックを軽減するより大きな能力をお客様に提供します。

本日発表する新機能は自動化を超えて、人間ユーザーとボットの間で悪用行動とリスクの高いアイデンティティを特定します。

Account Abuse ProtectionはEarly Accessで利用可能で、Bot Management Enterpriseのお客様は、今年後半のCloudflare Fraud Prevention一般提供まで、限定期間中追加費用なしでこれらの機能を使用できます。

このEarly Access機能について詳しく知りたい場合は、こちらからサインアップしてください。

漏洩認証情報がログインを脆弱にする

不正行為への参入障壁は危険なほど低く、特に大規模なデータセットの利用可能性と、大規模にアカウント詐欺を実行する自動化ツールへのアクセスにより、その傾向が顕著です。ウェブサイト所有者は個人のハッカーだけでなく、産業化された詐欺に対処しています。

昨年、私たちはネットワーク全体でのログインの41%が漏洩認証情報を使用していることを強調しました。この数字は、160億件のレコードを保持するデータベースの露出後に増加し続けており、その後複数の注目度の高い侵害が明らかになっています。

さらに、ユーザーは複数のプラットフォーム間でパスワードを再利用するため、数年前の単一の漏洩でも、今日でも高価値の小売アカウントや銀行アカウントのロックを解除できる可能性があります。

私たちの漏洩認証情報確認は、パスワードがインターネット上の他のサービスやアプリケーションの既知のデータ侵害で漏洩したかどうかを確認する無料機能です。これは、Cloudflareが平文のエンドユーザーパスワードにアクセスしたり保存したりすることなく、侵害された認証情報からユーザーを保護するプライバシー保護認証情報確認サービスです。パスワードは、漏洩認証情報のデータベースと比較する目的で、ハッシュ化（暗号化アルゴリズムを使用してランダムな文字列に変換）されます。

漏洩認証情報確認をまだ有効にしていない場合は、今すぐ有効にして、簡単なハッキングからアカウントを安全に保ちましょう！

漏洩認証情報の大規模データベースへのアクセスは、攻撃者がパスワードの再利用により依然として脆弱なアカウントを特定するために、多くのサイトで迅速にサイクルできる場合にのみ有用です。2024年のBlack Friday分析では、ネットワーク全体のログインページへのトラフィックの60%以上が自動化されていることを観察しました。それは多くのボットが侵入を試みているということです。

お客様がログインエンドポイントを絶え間ない攻撃から保護できるよう、アカウント乗っ取り（ATO）固有の検出を追加して、疑わしいトラフィックパターンを強調しました。これは、各ボット管理顧客に固有の行動異常検出を提供する顧客ごとの検出への最近の焦点の一部です。

現在、ボット管理のお客様は、Security analyticsダッシュボードで直接ログインリクエストでのATO攻撃の試行を確認し、軽減できます。

Security analyticsダッシュボード内の左側のカードで、アカウント乗っ取り攻撃の試行を表示し、対処できます。

先週、私たちのATO検出は、ネットワーク全体で1日平均69億件の疑わしいログイン試行を検出しました。これらのATO検出は、ボット管理ソリューションの他の多くの検出メカニズムとともに、ATOやその他の悪意のある自動化攻撃に対する多層防御を作成します。

自動化から意図とアイデンティティへ

自動化を識別するか、意図とアイデンティティを識別するか？それが問題です。私たちの答え：はい、そしてはい。両方とも堅牢なセキュリティ態勢の重要な層だからです。

攻撃者は現在、以前は企業サービスに限定されていた規模で活動しています：

• 大規模な認証情報漏洩を活用
• 人力による詐欺ファームを使用してデバイスと場所を偽装
• 数千、さらには数百万の偽アカウントを維持するための合成アイデンティティを作成してプロモーションとプラットフォーム悪用を行う

自動化ツールを持つ人間が、アカウントを枯渇させ、プロモーションを悪用し、支払い詐欺を実行し、またはそのすべてを行っている可能性があります。

それを超えて、特にユーザーがAIエージェントの使用に慣れ親しみ、長年の「従来の」ブラウザでさえデフォルトでエージェント機能を持つようになるにつれ、自動化はかつてないほどアクセスしやすくなっています。

AIエージェントを使用する単独の行為者であろうと、協調的な詐欺キャンペーンであろうと、脅威は単一のスクリプトほど単純ではありません。人間の意図と自動化された実行を含む可能性があります。

お客様から聞いた以下のシナリオを考えてみてください：

• 今月1,000人の新規ユーザーがいますが、その半数以上は無料トライアルの恩恵を受けてから消える偽のアイデンティティです。
• 攻撃者は正しいパスワードでログインしたので、それが本当のユーザーではないことをどうやって知ることができますか？
• このエンティティは人間のペースで行動し、アカウントを枯渇させています。

これらの問題は自動化の評価だけでは解決できません。真正性と整合性の確認が必要です。これが、私たちの専用不正防止機能が対処するギャップです。

疑わしいメールの評価

潜在的なアカウント悪用の最も早い時点、つまりアカウント作成の評価から始めましょう。偽または一括アカウント作成は、ウェブサイト詐欺に関する会話で最大のトピックの一つです。これは攻撃者がアプリケーション、さらにはビジネスモデル全体にアクセスする扉を開く可能性があるからです。

Cloudflareは、お客様に疑わしいアカウント作成をソースで評価するツールを2つの方法で提供しています：

使い捨てメール確認

プロモーション悪用と偽アカウント作成に一般的に使用される使い捨て、または一時的なメールアドレスでユーザーがサインアップしたときを検出します。これらの使い捨てメールサービスにより、攻撃者は実際のインフラストラクチャを維持することなく、特にアカウント作成や無料無制限メールエイリアスなしで即座にアクセスを提供する未認証の使い捨てメールで、数千の「ユニークな」アカウントを立ち上げることができます。

お客様は、セキュリティ設定を適用するルールを構築する際にこのバイナリフィールドを使用でき、すべての使い捨てメールを完全にブロックするか、使い捨てメールでアカウントを作成しようとする人にチャレンジを発行することを選択できます。

メールリスク

Cloudflareはメールパターンとインフラストラクチャを分析して、お客様がセキュリティルールで使用できるリスク階層（低、中、高）を提供します。すべてのメールアドレスが同じように作成されるわけではないことを私たちは知っています。[email protected]の形式のアドレスは、[email protected]とは異なるリスク特性を持ちます。

メールリスク階層により、お客様はアカウント作成時点でのリスクと摩擦に対する許容度を表現できます。

使い捨てメール確認とメールリスクの両方が、security analyticsとsecurity rulesで利用可能になり、ウェブサイト所有者がアカウント作成フローを保護できるようになりました。

これらの検出は根本的な問題に対処します：アカウントが悪用を実行している時点では、すでに手遅れです。ウェブサイト所有者はすでに獲得コストを支払い、不正ユーザーはプロモーションクレジットを消費し、修復には手動レビューが必要です。疑わしいメールの軽減は、最も重要な瞬間であるサインアップ時に適切な摩擦を追加することを意味します。

Hashed User IDの導入

悪用パターンの理解には可視性が必要です：ネットワークだけでなく、アカウント活動の可視性も。従来、セキュリティはIPと分離されたHTTPリクエストのレンズを通して自動化活動を発見することを意味していましたが、ウェブサイト所有者はネットワーク信号の観点だけで考えているわけではありません。彼らはユーザーと既知のアカウントも考慮しています。

そのため、私たちはアプリケーションが実際に構造化される方法に合わせて軽減ツールボックスを拡張し、不正活動のユーザーベース検出に焦点を当てています。

攻撃者は痕跡を隠すためにIPを簡単にローテーションできます。しかし、新しい信頼できるアカウントを繰り返し生成することを強制すると、特にアカウント作成保護と組み合わせた場合、大きな摩擦が生じます。

ネットワーク層を超えて見て、不正行為を特定の侵害されたまたは悪用的なアカウントにマッピングすると、単一の持続的な行為者に結び付けられた標的行動を発見し、悪用を停止できます。

このように、私たちはローテーションするIPアドレスと住宅プロキシとのもぐら叩きをするのではなく、防御戦略をアカウントレベルにシフトしています。

これは、お客様がアプリケーションがアイデンティティを分離する方法に基づいて悪用行動を軽減できることを意味します。

ウェブサイト所有者にこの機能を提供するため、Cloudflareはお客様がSecurity analytics、Security rules、Managed Transformsで使用できるHashed User IDをリリースします。

User IDは、ユーザー名フィールドの値の暗号学的にハッシュ化されたドメインごとのバージョンであり、各ユーザーIDは、顧客アプリケーションの特定のユーザー名に対して生成された暗号化された、ユニークで安定した識別子です。

重要なことに、実際のユーザー名は、このサービスの一部としてCloudflareによってログまたは保存されません。ログイントラフィックを特定してから比較のために認証情報を暗号化する漏洩認証情報確認とATO検出と同様に、私たちは不正行動に対してお客様が行動を取れるようにしながら、エンドユーザーのプライバシーを優先しています。

Hashed User IDへのアクセスにより、ウェブサイト所有者は以下が可能になります：

• トップユーザーの確認：どのアカウントが最も活動的か？
• ユニークユーザーが通常とは異なる国から、または1日で複数の国からログインした時の確認
• 履歴的に疑わしい活動を持つユーザーのブロックなど、ユニークユーザーに基づくトラフィックの軽減
• アカウントが漏洩認証情報で標的にされている時を確認するためのフィールドの組み合わせ
• ユニークユーザーに関連するネットワークパターンや信号の確認

Security analyticsダッシュボード内の単一のHashed User IDの拡張ビューで、そのユニークユーザーの活動詳細（ログイン場所とブラウザを含む）を表示。

このユーザーレベルの可視性は、ウェブサイト所有者がトラフィックを調査し軽減する方法を変革します。個別のリクエストを分離して調査する代わりに、お客様は攻撃者が正当なユーザーの間でどのように標的にし、隠れているかの全体像を見ることができます。

今日からアカウント保護の次のステップを踏み出す

このEarly Access機能について詳しく知りたい場合は、こちらからサインアップしてください。

すべてのBot Management Enterpriseのお客様が今日からこれらの新しいAccount Abuse Protection機能を追加する資格があり、私たちはすべてのBot Management見込み客との会話を開始したいと考えています。

ボット検出は自動化と意図の問題に答え続ける一方で、不正検出は真正性の問題を掘り下げます。両者が一緒になって、ウェブサイト所有者に包括的な保護を提供します。