アンチディテクトブラウザ(Multilogin、GoLogin、Dolphin Anty)を検知する方法
アンチディテクトブラウザの仕組み、不正に使われる理由、そしてそれらを捕捉する検知技術についての技術的な詳細解説。
アンチディテクトブラウザは、不正者の武器庫の中で最も洗練された回避ツールです。IPアドレスを隠すだけのVPNやプロキシチェーンとは異なり、アンチディテクトブラウザはまったく新しいデバイスアイデンティティを作り出します。canvas、WebGL、フォント、オーディオ、その他数十のブラウザフィンガープリンティングシグナルを偽装するのです。
アンチディテクトブラウザとは何か
アンチディテクトブラウザは、各ブラウザプロファイルをまったく別のデバイスに見せかけるよう設計された改造版Chromium(またはFirefox)ビルドです。1人1アカウントのポリシーを課すプラットフォームでの複数アカウント管理、複数の広告アカウントをまたいだ広告不正、アフィリエイトマーケティング不正、そして大規模なウェブスクレイピングに使われます。
この市場で支配的な3社は、Multilogin、GoLogin、Dolphin Antyです。
Multiloginの仕組み
Multiloginはエンタープライズグレードの選択肢です。2つのカスタムブラウザエンジン、Mimic(Chromiumベース)とStealthfox(Firefoxベース)を提供します。各プロファイルには、canvasノイズ、WebGLパラメータ、フォントリスト、画面解像度、タイムゾーン、言語、WebRTC設定の固有の組み合わせが割り当てられます。
Multiloginの重要な革新は、決定論的なノイズ注入です。canvasレンダリングにランダムなノイズを追加する(それ自体が検知可能なパターンです)のではなく、Multiloginは各プロファイルに一貫した変換を適用します。同じプロファイルは常に同じcanvasハッシュを生成するため、単純なフィンガープリンティングシステムには実在のデバイスのように見えます。
GoLoginの仕組み
GoLoginは、Orbitaブラウザで中間市場を狙っています。Multiloginより手頃な価格で、canvas、WebGL、フォント、タイムゾーン、位置情報、プロキシ統合など、同様の偽装機能を提供します。
GoLoginのフィンガープリント偽装へのアプローチは、Multiloginほど洗練されていません。canvasノイズはプロファイル間でより均一になりがちで、一部のWebGLパラメータの組み合わせは実在するハードウェアに一致しません。これが検知の機会を生み出します。
Dolphin Antyの仕組み
Dolphin Antyは、アフィリエイトマーケティング分野を支配しています。チームコラボレーション機能を提供しており、プロファイルをチームメンバー間で共有できるため、数百の広告アカウントを管理する代理店にとって便利です。
検知技術
canvas不整合分析
アンチディテクトブラウザはcanvas出力を偽装しますが、その偽装は統計分析を通じて露呈します。実在するGPUは、WebGLから宣言されるGPUモデルと相関する一貫したサブピクセルレンダリングパターンを持つcanvas出力を生成します。アンチディテクトブラウザはcanvas出力にノイズを注入しますが、そのノイズパターンは実在のどのGPUが生成するものとも一致しません。
当社はピクセル近傍のシャノンエントロピーを計算し、既知のGPUレンダリングプロファイルと比較します。実在するNVIDIA GeForce RTX 3060は、特定のエントロピー署名を持つcanvas出力を生成します。MultiloginのMimicブラウザは、ノイズ注入によりわずかに高いエントロピーを持つcanvas出力を生成します。この差はピクセル近傍あたり0.3ビット未満と小さいものですが、一貫しており測定可能です。
WebGLパラメータの不一致
WebGLはGPUに関する詳細な情報を露出させます。ベンダー文字列、レンダラー文字列、サポートされる拡張機能、最大テクスチャサイズ、精度フォーマットなどです。アンチディテクトブラウザはユーザーにGPUプロファイルの選択を許しますが、その組み合わせは常に筋が通るわけではありません。Intel UHD 630を名乗りながら、AMD GPUのみがサポートする最大テクスチャサイズ値を報告するプロファイルは疑わしいものです。当社は、過去10年間にリリースされたすべての主要GPUについて、有効なパラメータの組み合わせのデータベースを保持しています。
navigatorプロパティの不整合
navigatorオブジェクトは、内部的に整合しているべきプロパティを報告します。hardwareConcurrency(CPUコア数)、deviceMemory、platform、userAgentは、いずれもデバイスについて一貫した説明を示すべきです。アンチディテクトブラウザは、ときにあり得ない組み合わせを作り出します。Windowsのuser agentにLinuxのplatform、あるいは32GBのメモリに2つのCPUコアなどです。当社は47個のクロスプロパティ整合性ルールをチェックします。
フォントレンダリングの異常
フォントレンダリングは、OS、フォントレンダリングエンジン、利用可能なフォントによって決まります。アンチディテクトブラウザはカスタムフォントリストを注入できますが、異なるOSがそれらのフォントをどうレンダリングするかを完璧に再現することはできません。当社は特定のグリフをレンダリングし、バウンディングボックスの寸法、アドバンス幅、カーニングペアを分析します。Windowsマシンがテキストをレンダリングすると、同じフォントであっても、Macとはわずかに異なるメトリクスが生成されます。
タイミング分析
フィンガープリント偽装には時間がかかります。偽装されたAPI呼び出しはいずれも、ネイティブ実行と比べて小さくとも測定可能なオーバーヘッドを追加します。当社は12個の主要API呼び出しの実行時間を測定し、主張されるハードウェアの想定範囲と比較します。実在のデバイスでは、canvas.toDataURL()は2〜8msかかります。ノイズ注入があると、8〜20msかかります。
自動化フレームワークのアーティファクト
多くのアンチディテクトブラウザは、その自動化インフラの痕跡を残します。カスタムChromiumビルドは、navigatorやwindowオブジェクトに非標準のプロパティを露出させることがあります。当社は、CDPの痕跡、Puppeteer固有のプロパティ、GoLoginのOrbitaブラウザによって注入されるカスタムプロパティなど、200種類以上の既知の自動化アーティファクトをチェックします。
ポリモーフィックの優位性
静的なJavaScript内の検知ロジックは、リバースエンジニアリングに対して脆弱です。tracio.aiのポリモーフィックスクリプトがこれを解決します。すべての訪問者が固有のJavaScriptを受け取ります。同じチェックでありながら、変数名が異なり、実行順序が異なり、コード構造が異なります。アンチディテクトベンダーはあらゆるバリエーションをリバースエンジニアリングする必要があり、これは経済的に成り立ちません。
APIレスポンスの例
tracio.aiがアンチディテクトブラウザを検知すると、APIレスポンスには具体的なシグナルが含まれます。
antiDetectBrowserシグナルには、検知されたファミリー(Multilogin、GoLogin、Dolphin Anty)、具体的なエンジンのバリアント、そして検知を発動させた指標(canvas_entropy_anomaly、webgl_param_mismatch、timing_deviationなど)が含まれます。
推奨事項
複数アカウント不正やアフィリエイト不正があなたのプラットフォームにとって問題である場合:
- サインアップ、ログイン、主要なコンバージョンイベントでデバイスフィンガープリンティングを実装する
- アンチディテクトブラウザ検知を有効にする
- Verdict Engineを使ってBLOCKおよびCHALLENGEの判断を自動化する
- 新たな回避技術を監視する。アンチディテクトの状況は毎月進化している
tracio.aiの無料プランから始めましょう
現在のアンチディテクトブラウザトラフィックがどのように見えるかを確認できます。ほとんどのプラットフォームがその 量に驚きます。