デバイスフィンガープリンティング：仕組みとDiditの不正防止活用法 (JA)

2つのアカウント、2つの名前、2つの書類 — しかし、同じ電話、同じブラウザビルド、同じGPU。クッキーはクリアされ、2回目のサインアップはシークレットウィンドウで行われ、IPはVPNを介してローテーションされました。ほとんどのオンボーディングフローでは、これらは2つの異なる人物に見えます。デバイスフィンガープリンティングは、それらがそうではないことを教えてくれます。

この記事では、デバイスフィンガープリンティングとは何か、その実際の仕組み、クッキーとの違い、そしてDiditがデバイス＆IP分析内でそれを使用して、誤って無関係なユーザーを結合することなく、本人確認中の重複デバイス、不正グループ、多重アカウントを検出する方法を説明します。

主なポイント

• デバイスフィンガープリンティングは、ブラウザ、ハードウェア、ネットワーク信号からデバイスの安定した識別子を構築します。クッキーとは独立しているため、ストレージクリア、シークレットモード、アプリの再インストール後も存続します。
• デバイスをユニークにする要素（GPU、画面、フォント、OSビルド、センサーの特性）は、大規模に変更するのが難しく、詐欺師が説得力を持って偽装するにはコストがかかるため、これは最も強力な初回不正信号の1つです。
• 高価値なユースケースは、異なる身元の背後にある同じデバイスの検出です。多重アカウント、ボーナス・紹介の悪用、不正グループ、合成ID、マネーミュールのオンボーディングなどです。
• Diditは、デバイス＆IP分析（0.03ドル）の一部として、すべての検証セッションでデバイスフィンガープリンティングを自動的に実行し、device_fingerprint、重複デバイスの一致、高信頼度の回復信号、承認/レビュー/拒否に設定可能な警告を返します。
• Diditは、正確な一致と回復された一致を分離し、ハッシュ衝突から保護するため、共有オフィスや共有WebViewデバイスを誤ってリンクすることなく、不正信号を得ることができます。

デバイスフィンガープリンティングとは？

デバイスフィンガープリンティングは、アプリに接続したときに公開される属性の組み合わせから、デバイス（電話、ラップトップ、タブレット）を識別する手法です。単一の属性はユニークではありませんが、数十の属性（画面解像度、GPUモデル、インストール済みフォント、オペレーティングシステムビルド、タイムゾーン、言語、ブラウザバージョン、キャンバスおよびWebGLのレンダリング特性）の組み合わせは、後で同じデバイスを認識するのに十分なほど特徴的です。

その結果がフィンガープリントです。これらの信号から導き出される安定した識別子です。ユーザー名やメールアドレスとは異なり、ユーザーが選択することはなく、通常は存在することすら知りません。これがまさに不正防止に役立つ理由です。詐欺師は新しい名前を作り、盗まれた新しい書類を購入できますが、多くの場合、同じマシンに座っています。

デバイスフィンガープリンティングの仕組み

フィンガープリンティングはクライアント側で行われます。ブラウザまたはモバイルアプリで小さなスクリプトまたはSDKが実行され、一連の信号を読み取り、それらを1つ以上のハッシュに変換します。信号は通常、いくつかのカテゴリに分類されます。

ブラウザとソフトウェアの信号

• ユーザーエージェント文字列、ブラウザファミリーとバージョン、インストール済みのプラグインとMIMEタイプ
• 言語、タイムゾーン、ロケール
• 画面解像度、色深度、利用可能なフォント
• HTTPヘッダーの順序とTLSの特性

ハードウェアとレンダリングの信号

• WebGLを介して公開されるGPUモデルとドライバー
• キャンバスフィンガープリンティング — ブラウザに非表示のテキスト/グラフィックのレンダリングを要求します。GPU、ドライバー、アンチエイリアシングのわずかな違いが、デバイスごとの画像ハッシュを生成します。
• AudioContextフィンガープリンティング — オーディオスタックは、デバイスごとに信号をわずかに異なる方法で処理します。
• モバイルのCPUクラス、デバイスメモリ、バッテリー、センサーの特性

ネットワークと行動の信号（フィンガープリンティングと組み合わせられることが多い）

• IPアドレス、地理位置情報、接続タイプ、ASN
• VPN / プロキシ / Tor / データセンターの検出
• オプションで、タイピングのリズムなどの行動的キュー

これらの信号はハッシュに結合されます。堅牢な実装では複数のハッシュが生成されます。永続的なデバイス識別子（ローカルストレージが存続する間は安定）、複合ハッシュ（信号の決定論的なグループ化）、および永続IDが消去された場合でもデバイスを回復するために使用される信号ベクトルです。

デバイスフィンガープリンティング vs クッキー

クッキーとデバイスフィンガープリントはどちらも再訪者を認識しますが、動作が異なります。そして、その違いこそが、不正対策チームがフィンガープリンティングに依存する理由です。

	クッキー	デバイスフィンガープリンティング
どこに存在する	ブラウザがクライアント側に保存するファイル	デバイス信号から派生。参照データはサーバー側に保存。
ユーザー制御	簡単に削除またはブロック可能	簡単に削除できない。ストレージクリア後も存続。
シークレットモードで存続？	いいえ	はい（回復信号）
再インストール後も存続？	いいえ	しばしばはい
主な目的	セッション、設定、分析	身元の背後にあるデバイスの認識

50のアカウントを開設する詐欺師は、試行の間にクッキーをクリアしたり、シークレットモードに切り替えたり、アプリを再インストールしたりします。クッキーは毎回リセットされますが、優れたデバイスフィンガープリントは同じマシンを指し続けます。

不正防止においてデバイスフィンガープリンティングが重要な理由

ほとんどのアカウントレベルの不正には、共通の兆候が1つあります。それは多くの身元の背後にある1つのデバイスです。フィンガープリンティングは、お金が動く前の最も早い段階（サインアップまたはオンボーディング）でそれを明らかにします。

• 多重アカウント — 制限、禁止、または資格ルールを回避するために、1人が多くのアカウントを運用すること。
• ボーナス、紹介、プロモーションの悪用 — 異なる名前でサインアップボーナス、無料トライアル、または紹介報酬を稼ぐ同じデバイス。
• 不正グループ — 共有されたデバイスまたはインフラストラクチャのセットから数十のアカウントを運用する調整されたネットワーク。
• 合成IDのオンボーディング — 少数のデバイスプールから大量に作成された偽造ID。
• マネーミュールのオンボーディング — 同じマシンからオンボーディングする多くの「異なる」人物。
• アカウント乗っ取り（ATO） — 正当なユーザーに関連付けられたことのないデバイスからのログインまたはステップアップ。

疑わしい設定を特定することも重要です。仮想マシン、自動化フレームワーク、エミュレータ、またはありえない信号の組み合わせ（デスクトップGPUを持つ「モバイル」ユーザーエージェント）自体が危険信号です。

Diditがデバイスフィンガープリンティングを使用する方法：デバイス＆IP分析

Diditは、デバイス＆IP分析の一部として、すべての検証セッション内でデバイスフィンガープリンティングを自動的に実行します。デバイスフィンガープリント、重複デバイスの回復、IPインテリジェンス、および地理位置情報を1つのリスク表面に組み合わせます。個別の統合を構築する必要はありません。WebおよびモバイルSDKは、ホストされたKYCフロー中にインバンドで信号を収集し、結果はip_analyses[]下の決定ペイロードに格納されます。

Diditがキャプチャするもの

Diditは、検証クライアントからプライバシー保護されたv2フィンガープリントペイロードを送信します。

信号	目的
永続的なデバイスID	ストレージが存続する間、正確な同一デバイス検出のためのファーストパーティ識別子。
複合ハッシュ	衝突保護付きの、決定論的な重複チェックのための安定したグループ化された信号ハッシュ。
信号ベクトル	高信頼度の回復のためにベクトル化されたデバイスおよびブラウザ/アプリ属性。
プラットフォームコンテキスト	ブラウザ、OS、アプリ、ハードウェア、WebGL/キャンバス、メディア、ロケール、タイムゾーン、およびモバイルの整合性信号。

並行して、接続を強化します。IP地理位置情報、VPN / プロキシ / Tor / データセンターの検出、オプションの期待IPピンニング、およびIPブロックリストチェックです。

マッチングモデル

デバイスフィンガープリンティングの難しい部分は、明らかな再利用を検出することではなく、詐欺師がリセットした後でも再利用を検出し、WebViewプールやオフィスネットワークを共有している無実のユーザーを誤ってリンクしないことです。Diditはレイヤーを分離し、応答を安全に調整できるようにします。

レイヤー	検出するもの	スタンス
正確な永続ID	他のユーザーのセッションにおける同じファーストパーティデバイスID。	最も強力な信号 → DUPLICATED_DEVICE_FINGERPRINT。
複合ハッシュ	ユーザー間で同じ決定論的なデバイスハッシュ。	一般的なブラウザ/WebViewプールの抑制のために衝突検出によって保護されています。
v2回復デバイス	永続IDが変更されたが、リッチな信号が以前のデバイスと高い信頼度で一致する。	保守的 → DEVICE_RECOVERED_HIGH_CONFIDENCE、厳しいゲートを通過した後のみ。
IP再利用	ユーザー間で同じIP。	文脈による — 共有オフィス、家庭、モバイルキャリアは正当な場合がある。

この回復レイヤーが、ストレージクリア/シークレット/再インストールのトリックを検出します。永続IDが変更された場合でも、v2モデルはセッションを以前に見たデバイスにリンクできます。

対応すべき警告

ip_analyses[]の各エントリには、device_fingerprint、デバイスのブランド/モデル/ブラウザ/OS、重複セッションのmatches[]配列（同じユーザーが自分自身に対してフラグ付けされないようにvendor_dataでグループ化）、および設定可能な一連の警告が含まれています。

警告	意味	デフォルトのアクション
DUPLICATED_DEVICE_FINGERPRINT	異なるIDで同じ永続デバイスが再利用されました	承認（設定可能）
DEVICE_RECOVERED_HIGH_CONFIDENCE	ストレージ/シークレット/再インストール後にデバイスが回復されました	承認（設定可能）
DEVICE_FINGERPRINT_IN_BLOCKLIST	デバイスがブロックリストと一致します	強制拒否
DUPLICATED_IP_ADDRESS	ユーザー間で同じIP	承認（設定可能）
PRIVATE_NETWORK_DETECTED	VPN、プロキシ、またはTor	レビュー（設定可能）
COUNTRY_FROM_DOCUMENT_DOES_NOT_MATCH_COUNTRY_FROM_IP	書類の国 ≠ IPの国	レビュー（設定可能）
EXPECTED_IP_ADDRESS_MISMATCH	ライブIP ≠ セッション作成時にピン留めしたIP	拒否（設定可能）

Business Consoleで各カテゴリを個別に設定できます（承認、手動レビューへのルーティング、または強制拒否）。結果はWebhook、決定API、ダッシュボード、または検証PDFを介して利用できます。全警告カタログはこちらを参照してください。

実行例

これはDeclinedの決定です。IPブロックリストヒット、マスクされたトラフィック、および再利用されたデバイスがすべて1つのセッションで発生しています。

{
  "ip_analyses": [
    {
      "status": "Declined",
      "device_brand": "Generic",
      "device_model": "Linux PC",
      "browser_family": "Chrome",
      "device_fingerprint": "fp_re-used_a13c",
      "warnings": [
        { "risk": "IP_ADDRESS_IN_BLOCKLIST" },
        { "risk": "PRIVATE_NETWORK_DETECTED" },
        { "risk": "DUPLICATED_DEVICE_FINGERPRINT" }
      ],
      "matches": [
        {
          "match_type": "device_fingerprint",
          "matched_value": "fp_re-used_a13c",
          "device_info": { "brand": "Generic", "model": "Linux PC", "os": "Linux", "platform": "desktop" }
        }
      ]
    }
  ]
}

このデバイスはすでに別のvendor_dataで登録されており、トラフィックはマスクされ、IPはブロックリストに載っています。これらは、セッションがアカウントになる前に停止する独立した3つの理由です。

プライバシーとコンプライアンス

デバイスフィンガープリンティングはプライバシー法（GDPR、ePrivacy、および同様の制度ではデバイス識別子を個人データとして扱います）の範囲内にあります。Diditの実装はプライバシー保護を目的として設計されています。クロスサイト広告のためではなく、不正防止のためのフィンガープリントを収集します。これは、すでに実行している検証に関連する正当な目的です。信号はベクトル化およびハッシュ化され、無関係なユーザーがプールされるのを避けるためにマッチングがゲートされ、機能全体は同意された検証セッション内でのみ実行されます。Diditは、EU加盟国政府（スペインのTesoro / Banco de España / SEPBLACサンドボックス）によって、対面での検証よりも安全であると正式に証明された唯一のIDプロバイダーです。

Diditとの連携方法

デバイス＆IP分析はセッションのみです。呼び出すスタンドアロンのエンドポイントはありません。すべてのセッションで自動的に実行されます。

1. （オプション）Business Consoleで、リスクごとの厳格モードアクションを設定します。例：VPNでの拒否、重複デバイスでのレビュー、国と書類の不一致での拒否。
2. セッションを作成します — workflow_id、vendor_data（重複が正しくスコープされるように常に安定したユーザーごとの値を送信）、およびcallbackと共にPOST /v3/session/を送信します。
3. ユーザーのためにsession.urlを開きます — SDKがフィンガープリントとIPをインバンドで収集します。
4. 結果を読み取ります — GET /v3/session/{sessionId}/decision/またはsession.status.updatedを購読し、ip_analyses[]を解析します。

curl -X POST 'https://verification.didit.me/v3/session/' \
  -H 'x-api-key: YOUR_API_KEY' \
  -H 'Content-Type: application/json' \
  -d '{
    "workflow_id": "YOUR_WORKFLOW_ID",
    "vendor_data": "user-123",
    "callback": "https://yourapp.com/post-kyc"
  }'

完全なリファレンス：デバイス＆IP分析の概要、レポートスキーマ、およびデータモデル。

よくある質問

Diditでのデバイスフィンガープリンティングの費用はいくらですか？

デバイス＆IP分析の一部として、1チェックあたり0.03ドルで提供され、検証セッション内で実行されます。個別の統合は不要です。Diditは毎月500回の無料検証も提供しています。

詐欺師はデバイスフィンガープリンティングを回避できますか？

彼らは試みます — VM、アンチ検出ブラウザ、なりすましユーザーエージェント、ストレージリセットなどです。Diditは2つの側面からこれに対抗します。回復モデルは、永続IDが変更された後でもデバイスをリンクし、マスクされたトラフィック/疑わしい設定信号（VPN、Tor、データセンターIP、ありえない信号の組み合わせ）はそれ自体の警告として表示されます。単一の信号では決定的なものではないため、Diditはポリシーごとに組み合わせるための階層化されたセットを返します。

無関係な2人のユーザーを誤ってリンクすることはありませんか？

Diditはこれを意図的に防ぎます。複合ハッシュは、一般的なWebView/ブラウザプールに対する衝突ガードによって抑制され、回復されたデバイスの一致には高信頼度のゲートが必要であり、一致はvendor_dataによってスコープされるため、同じユーザーが自分自身に対してフラグ付けされることはありません。

フィンガープリントがない場合のケースを処理する必要がありますか？

はい — ユーザーがプライバシー拡張機能やコンテンツブロッカーでSDKのフィンガープリンティングスクリプトをブロックした場合、ip_analyses[]は空で返されることがあります。この場合、フェイルクローズにするか、他のリスク信号にフォールバックするかを事前に決定してください。

これはモバイルでもウェブでも機能しますか？

はい。WebおよびモバイルSDKは両方ともv2フィンガープリントを収集し、利用可能な場合はモバイルの整合性信号も含まれます。

始めましょうか？

デバイスフィンガープリンティングは、Diditのより広範な不正対策表面における1つの信号です。IPインテリジェンス、書類認証、生体認証、AMLスクリーニングと組み合わせて、すべて1つのワークフローで構成可能です。

• 機能を知る → デバイス＆IP分析ドキュメント
• プラットフォームで見る → ユーザー検証
• 価格を確認する → 価格 — デバイス＆IP分析は0.03ドル、毎月500回の無料検証
• 無料で始める → business.didit.me