概要
Cloudflare は本日、アカウント濫用(Account Abuse)を未然に防ぐための新しい不正防止機能群「Account Abuse Protection」を発表します。これまで自動化攻撃からアプリケーションを守るための機能を提供してきましたが、脅威の状況は進化しています。自動化と人手が組み合わさったハイブリッド型の濫用は、ウェブサイト運営者にとって複雑なセキュリティ課題を突きつけます。たとえば、同じ5分間にあるアカウントがニューヨーク、ロンドン、サンフランシスコから同時にアクセスされた場合、「自動化されているか?」ではなく「このアクセスは本物か?」が重要になります。ウェブサイト所有者は、攻撃者がボットであろうと人間であろうと、どちらからでも濫用を止められるツールが必要です。
- 発表日: 2026-03-12
- 著者: Jin-Hee Lee
- 読了時間: 約7分
背景と最近の取り組み
- 2024年の Birthday Week に、すべての顧客(Free プランを含む)に対して leaked credentials 検出を提供しました。
- その後、Bot Management に ATO(account takeover)検出を追加し、ログインページを狙うボットを特定しやすくしました。
- 本日、これら既存機能に加え、新たな検出と指標を組み合わせて提供します。
新機能には次が含まれます。
- Disposable email check と Email risk:使い捨てメールやリスクの高いメールを評価し、偽アカウント作成やプロモーション濫用を防止。
- Hashed User IDs:ユーザー名を暗号学的にハッシュしたドメイン毎の識別子により、エンドユーザーのプライバシーを損なわずに疑わしいアカウント活動を可視化・対処。
これらは自動化だけでなく、人間のユーザーやボットを含む不正な行為やリスクの高いアイデンティティを識別します。
Account Abuse Protection は Early Access で提供されており、Bot Management Enterprise の全顧客は本機能を追加費用なしで一定期間利用できます(今年後半に Cloudflare Fraud Prevention が一般公開されるまで)。本 Early Access について詳しく知りたい方は、サインアップはこちら。
漏えいした認証情報(leaked credentials)がログインを脆弱にする理由
大規模データセットと自動化ツールの普及により、不正の敷居は非常に低くなっています。ウェブサイト運営者は個人のハッカーだけでなく、産業化された不正と対峙しています。
- 当社ネットワーク全体のログインのうち 41% が leaked credentials を利用していると報告しました。これは、160億件のレコードを含むデータベースの露出などを受けてさらに増加しています。
- ユーザーが複数サイトでパスワードを使い回すため、数年前の漏えいが今でも高価値アカウント(小売や銀行など)を開けてしまうことがあります。
Cloudflare の leaked credential check は無料で利用できる機能で、既知の他サービスのデータ漏えいにパスワードが含まれているかをチェックします。プライバシー保護を重視しており、エンドユーザーの平文パスワードへアクセスしたり保存したりすることはありません。確認のためにパスワードはハッシュ化(暗号学的アルゴリズムで文字列に変換)され、漏えいデータベースと比較されます。
まだ有効化していない場合は、leaked credential check を有効にしてアカウントを保護してください。
自動化の脅威とログインページに対するボット
大量の漏えいデータベースを攻撃者が高速で使い回すと、複数サイトに対して短時間で脆弱なアカウントを突き止められます。2024年の Black Friday 分析では、ログインページへのトラフィックの60%以上が自動化されていることを観測しました。
そのため、ログインエンドポイントを守るべく、我々は ATO(account takeover)向けの検出を追加しました。これらは per-customer detections の一部で、各 Bot Management 顧客ごとに固有の行動異常検出を提供します。現在、Bot Management の顧客は Security analytics ダッシュボード上で ATO 攻撃の試行を確認し、対処できます。
最近1週間では、当社の ATO 検出はネットワーク全体で日次平均 69億(6.9 billion)の疑わしいログイン試行を検出しました。
これらの ATO 検出は、Bot Management の他の検出メカニズムと組み合わせることで、ATO やその他の悪意のある自動攻撃に対する多層防御を形成します。
自動化か意図とアイデンティティか――両方が重要
「自動化を見分けるか?それとも意図とアイデンティティを見分けるか?」という問いに対する答えは両方、です。攻撃者は大規模な認証情報漏えいを活用し、人手の詐欺チームでデバイスやロケーションを偽装し、合成アイデンティティで何千、何百万もの偽アカウントを運用します。人間が自動化ツールを使うことで、口座の引き出し、プロモーション濫用、決済詐欺などが行われます。
自動化が単独で行われる場合もあれば、AIエージェントや従来のブラウザのエージェント化などにより、人手と自動化が混在する場合もあります。例えば顧客からは次のような相談が寄せられています。
- 「今月 1,000 人の新規ユーザーがいるが、半数以上が偽アカウントでフリートライアルを消費してすぐ消える」
- 「攻撃者は正しいパスワードでログインしている。どうすれば本物のユーザーと区別できるか?」
- 「この主体は人間のペースで行動し、アカウントを枯渇させている」
これらは単に自動化の評価だけでは解けない問題で、真正性(authenticity)と整合性(integrity)をチェックする必要があります。Account Abuse Protection はまさにこのギャップを埋めます。
アカウント作成時の疑わしいメールの評価
不正アカウント作成は、攻撃者がアプリケーションやビジネスモデル自体を悪用する入口になり得ます。Cloudflare はアカウント作成段階での疑わしい振る舞いを2つの方法で評価します。
-
Disposable email check
- 使い捨て(throwaway)メールアドレスでのサインアップを検出します。
- こうしたサービスは、認証不要の即時アクセスや無制限のエイリアスを提供することがあり、攻撃者は本当のインフラを用意せずに数千の"一意な"アカウントを作れます。
- 顧客はこのバイナリフィールドを利用して、使い捨てメールを完全にブロックするか、チャレンジを課すなどのルールを構築できます。
-
Email risk
- メールアドレスのパターンやインフラストラクチャを分析し、low / medium / high のリスク階層を返します。
- たとえば [email protected] のような形式と [email protected] のような形式ではリスク特性が異なります。
- Email risk の階層により、顧客はアカウント作成時点でのリスク許容度やフリクションを柔軟に設定できます。
両機能とも Security analytics と Security rules で利用可能になり、アカウント作成フローで適切な摩擦を追加することで、被害が発生してから手動で対応するよりも早い段階で不正を防げます。
Hashed User IDs の導入
不正のパターンを理解するには、ネットワークだけでなくアカウント活動の可視化が必要です。従来は IP や個々の HTTP リクエストの観点で自動化を検出してきましたが、アプリケーションはユーザーや既知のアカウントを基準に設計されているため、検出も同様にアカウント単位で行うべきです。
攻撃者は IP を容易に回転させますが、同一の信頼できるアカウントを繰り返し作ることは大きな摩擦になります。ネットワーク層を越えて不正を特定し、単一の持続的な主体に紐づく悪意ある行動をマッピングできれば、回転する IP に対処するだけの手間を減らせます。
そのため Cloudflare は Hashed User ID を提供します。主なポイントは以下の通りです。
- Hashed User IDs はドメイン毎に生成される、ユーザー名フィールドの暗号学的ハッシュ化された値です。
- 各 User ID は暗号化され、一意で安定した識別子として同一のユーザー名に対して生成されます。
- 実際のユーザー名はこのサービスの一部として Cloudflare 側にログ保存されません。
- leaked credentials check や ATO 検出と同様に、エンドユーザープライバシーを優先しつつ顧客が対処できるように設計されています。
Hashed User IDs により、ウェブサイト所有者は次のことができるようになります。
- 上位ユーザーの確認:どのアカウントに最も活動があるかを見る。
- 同一ユーザーが普段アクセスしない国からログインしている、または同日に複数の国からログインしている等を検出する。
- 過去に疑わしい活動のあるユーザーをブロックするなど、ユニークユーザー単位でトラフィックを軽減するルールを適用する。
- アカウントが leaked credentials の標的になっているかなど、複数フィールドを組み合わせて解析する。
- 特定ユーザーに関連するネットワークパターンやシグナルを確認する。
Security analytics ダッシュボード内で単一の Hashed User ID の拡張ビューを見ると、そのユーザーのログイン位置やブラウザなど活動の詳細が表示され、個々のリクエストを孤立して調べる代わりに、攻撃が正規ユーザーの中でどのように隠れているかを全体像として把握できます。
導入・次のステップ
- 本 Early Access 機能について詳しく知りたい方は、サインアップはこちら。
- 全ての Bot Management Enterprise 顧客は本日からこれらの Account Abuse Protection 機能を利用可能です。
- Bot 検出は自動化と意図の問いに答え続けますが、Fraud 検出は真正性の問いに踏み込みます。両者を組み合わせることで、ウェブサイト所有者はより強固なアカウント保護を実現できます。
ご興味がある Bot Management の見込み顧客の皆様ともぜひ対話を始めたいと考えています。