メインコンテンツへスキップ
Diditが750万ドルを調達、本人確認と不正対策のインフラを構築
Didit
ブログ一覧へ
ブログ2026年5月21日

メールアドレスがユーザーについて明かすこと (JA)

メールアドレスは単なる受信箱以上の情報を持っています。ドメインの登録期間、プロバイダーの種類、侵害履歴、配信可能性など、すべてが不正行為のシグナルとなります。ここでは、不正対策チームがメールインテリジェンスを摩擦の少ない最初のフィルターとして、本格的なKYCの前にどのように利用するかを説明します。.

By Didit更新日
what-an-email-address-reveals.png

新規ユーザーがサインアップ時に入力するメールアドレス。一見すると単なる文字列ですが、そうではありません。

書類を要求したり、顔認証を行ったりする前に、そのアドレスはすでに多くのことを教えてくれます。受信箱が実在するか、ドメインがメールを受け入れるか、プロバイダーが使い捨てサービスであるか、そしてそのアドレスがデータ侵害のダンプに現れたことがあるか、といった情報です。これらはユーザーが何もする必要がなく、文字列を入力した瞬間に得られます。

この記事では、これらのシグナルが何を意味するのか、不正対策チームがそれらにどのように対応するのか、そしてDidit Email Verificationがそれらを1回0.03ドルのチェックとしてパッケージ化し、あらゆるオンボーディングフローの初期段階に配置できるかについて説明します。

主要なポイント

  • メールアドレスは多次元の不正シグナルです。配信可能性、プロバイダーの種類、ドメインの評判、情報漏洩履歴はそれぞれ異なるリスクパターンを検出します。
  • 使い捨てメールは、KYCチェックに費用をかける前にフラグを立てることができます。
  • 情報漏洩履歴は、クレデンシャルスタッフィングやアカウント乗っ取りのリスクと相関します。サインアップ時の高い侵害件数は、新しい企業アドレスとは異なるプロファイルを示します。
  • メールインテリジェンスは摩擦の少ないフィルターです。正規のユーザーはほとんど気づきませんが、オンボーディングを不正に利用しようとするユーザーは安価な選択肢が少なくなります。
  • Didit Email Verificationは、OTP配信とリスクシグナル(BREACHED_EMAILDISPOSABLE_EMAILUNDELIVERABLE_EMAILINVALID_EMAILDUPLICATED_EMAIL)を1回0.03ドルの呼び出しで実行し、警告ごとに承認、レビュー、拒否を設定できます。

メールアドレスに実際に含まれるもの

@を削除すると、ローカルパートとドメインの2つの部分があります。どちらもシグナルを持っています。

ローカルパートは自動化を示唆する可能性があります。連続した文字列、キーボードパターン、または長いランダムな英数字の文字列は、実際のユーザーにとっては異常です。大量のアカウントを作成する不正グループは、プログラム的にローカルパートを生成することがよくあります。

ドメインは、受信箱が実在し、到達可能かどうかを教えてくれます。MXレコードの状態とDNS設定が重要です。3ヶ月前に登録され、以前のメール履歴がないドメインは、gmail.comacme-corp.comとは大きく異なります。

プロバイダーは意図を教えてくれます。使い捨てメールプロバイダー、つまり数分で期限切れになる使い捨てアドレスを生成するために作られたサービスは、どこでも異常です。これらは何千もあり、不正ツールが進化するにつれてリストは増え続けています。

メールアドレスに含まれる4つの不正シグナル

1. 配信可能性とMXの有効性

ドメインに有効なMXレコードがない場合、構文が不正な場合、またはメールボックスがバウンスすることが知られている場合、アドレスは配信不能です。OTPは届かず、先に進む意味がありません。これを早期に検出することで、完全な検証コストを節約し、連絡できないユーザーのオンボーディングを回避できます。

2. 使い捨てプロバイダーの検出

使い捨てメールサービスは、追跡可能な身元を残さずにサインアップを完了するという一つの目的のために存在します。真にアカウントを必要とするユーザーがこれらを使用する理由はありません。紹介プログラムを悪用したり、無料トライアルを繰り返したり、禁止されたアカウントを循環させたりするユーザーはこれらを使用します。使い捨てプロバイダーの検出には、既知のサービスを維持し、常に最新の状態に保つデータベースが必要です。Diditはこれを、すべてのチェックのリスク評価の一部として保持しています。

3. 情報漏洩履歴

データベースが漏洩すると、公開された記録にはパスワードまたは個人データとペアになったメールアドレスが含まれます。多く知られている侵害にアドレスが現れると、リスクプロファイルが変化します。それは古く、広く使用されており、資格情報が流通している可能性があります。アカウント乗っ取りのリスクについては、サインアップ時の高い侵害件数には注意が必要です。合成アカウント詐欺の場合、その逆が当てはまることがよくあります。詐欺のために作成された使い捨てアドレスは、侵害履歴がゼロである傾向があります。

4. 重複使用

異なるユーザーIDで既に登録されているメールアドレスは、間違いであるか、複数アカウントの利用です。重複メールは通常、厳格な拒否シグナルではなくレビューシグナルです(家族がアドレスを共有することもあるため)が、パターンを早期に表面化させます。

メールが最初のフィルターであり、最終的な判断ではない理由

メールインテリジェンスは2秒未満で実行され、ユーザーの労力は不要で、ドキュメント分析や生体認証チェックに費用をかける前に、手間のかからない不正行為を阻止します。0.33ドルのKYCコアフローの前に0.03ドルで、使い捨てメールを検出すると、ブロックされた試行ごとに0.30ドルを節約でき、不正なドキュメントをレビューキューから完全に排除できます。

メールだけでは全体像は把握できません。正規のユーザーがGmailを使用したり、古い侵害データベースに現れたり、奇妙なMXの動作を示したりすることもあります。これは下流の支出を調整するものであり、ドキュメントや生体認証に取って代わるものではありません。

Diditが提供するサポート

Didit Email Verificationは、OTP配信と完全なリスク評価を1回0.03ドルで組み合わせます。Diditは、時間制限付きのコードをアドレスに送信し(6桁、4〜8桁に設定可能)、コードは5分で期限切れになり、セッションあたり最大3回の入力試行が許可されます。

OTPと並行して、Diditは4つのリスク警告を表面化します。

警告内容
BREACHED_EMAILアドレスが1つ以上の既知のデータ侵害データベースに現れています。応答には公開されたサービスがリストされます。
DISPOSABLE_EMAILアドレスは既知の一時的または使い捨てのメールプロバイダーに属しています。
UNDELIVERABLE_EMAILアドレスはメールを受信できません。ドメインが不正、MXレコードがない、または既知のバウンスアドレスです。
INVALID_EMAILアドレスの構文が不正です。
DUPLICATED_EMAILこのアドレスはすでにワークスペース内の別のユーザーIDで登録されています。

各警告は個別に設定可能です。Workflow Builderでduplicated_email_actionbreached_email_actiondisposable_email_actionAPPROVEREVIEW、またはDECLINEに設定します。セッションベースモード(ホストされたDiditフロー)とスタンドアロンAPIモード(POST /v3/email/send/POST /v3/email/check/)の両方が利用可能です。

使用事例

消費者向けフィンテックのオンボーディング — 使い捨ておよび配信不能チェックは、ドキュメントチェックに費用をかける前に、手間のかからないアカウント詐欺を阻止します。情報漏洩履歴は、サインアップ時に再利用された資格情報をフラグ付けします。

マーケットプレイスの販売者検証 — 販売者アカウントの新規作成されたメールドメインは、KYBの前の黄色のフラグです。メールインテリジェンスは、高価なチェックの前に迅速かつ安価なシグナルを提供します。

紹介およびプロモーションの悪用 — 使い捨てメール検出は、紹介ファームの主要な対策です。悪意のあるアクターが使い捨てアドレスを循環させてサインアップボーナスを集めます。

ステップアップフロー — ユーザーのメールがライフサイクル中に変更された場合、チェックを再実行することで、使い捨てプロバイダーへの変更(アカウント乗っ取り準備の一般的なステップ)を検出できます。

Diditとの連携方法

セッションベース(ホストされたフロー)

  1. ビジネスコンソールで、ワークフローにEMAIL機能を追加し、3つのリスクアクションを設定します。
  2. workflow_idvendor_datacallbackを含むPOST /v3/session/でセッションを作成します。
  3. ユーザー向けにsession.urlを開きます。メール収集、OTP、リスク評価はインバンドで実行されます。
  4. GET /v3/session/{sessionId}/decision/またはsession.status.updatedを介して結果を読み取ります。メールの結果はemail_verifications[]に格納されます。

スタンドアロンAPI(サーバー間OTPペア)

# Step 1 — コードを送信する
curl -X POST 'https://verification.didit.me/v3/email/send/' \
  -H "Authorization: Bearer $DIDIT_API_KEY" \
  -H "Content-Type: application/json" \
  -d '{ "email": "alice@example.com", "vendor_data": "user-1234" }'

# Step 2 — コードをチェックする(ユーザーがUIで入力した後)
curl -X POST 'https://verification.didit.me/v3/email/check/' \
  -H "Authorization: Bearer $DIDIT_API_KEY" \
  -H "Content-Type: application/json" \
  -d '{ "email": "alice@example.com", "code": "123456", "disposable_email_action": "DECLINE" }'

チェック応答には常に完全なメールメタデータが含まれます。公開されたサービスを含むbreaches[]disposableフラグ、およびdeliverableフラグです。

完全なリファレンス:メール検証の概要警告カタログレポートスキーマ

よくある質問

メール検証はドキュメント検証に取って代わりますか?

いいえ、これはドキュメントおよび生体認証チェックに費用をかける前に、手間のかからない不正行為を阻止する事前フィルターです。

使い捨てメールプロバイダーとは何ですか?

Diditは、既知の一時メールサービスのライブデータベースを継続的に更新しています。一般的な無料のウェブメール(Gmail、Outlook)は使い捨てとはフラグ付けされません。これらのパターンは個別の評判シグナルでカバーされます。

侵害されたメールアドレスでも正規のものですか?

はい。情報漏洩履歴とは、アドレスが漏洩したデータベースに現れたことを意味し、ユーザーが詐欺師であることを意味するものではありません。BREACHED_EMAILにどの程度積極的に対応するかは、リスク許容度と応答が返す侵害件数によって異なります。

ユーザーのメールが配信不能な場合はどうなりますか?

OTPは送信されず、チェックはそこで停止します。配信不能検出のカウント方法については、請求契約を参照してください。

重複メールチェックはどのように機能しますか?

DUPLICATED_EMAILは、ワークスペース内の異なるvendor_dataで同じアドレスが登録された場合に発生します。同じユーザーが再検証してもトリガーされません。

始めませんか?

メール検証は、Diditのより広範な不正対策の一部です。IPおよびデバイス分析、ドキュメント検証、生体認証、AMLスクリーニングと組み合わせて、すべて単一のワークフローで構成できます。

本人確認と不正対策のインフラ。

KYC、KYB、取引監視、ウォレットスクリーニングを一つのAPIで。5分で統合できます。

無料で始めるお問い合わせ
AIにこのページの要約を依頼する
メールアドレスからわかるユーザー情報 | Didit.