複数アカウント攻撃の解剖:iGamingプラットフォームのケーススタディ
1人の運用者、217のアカウント、$84,000のボーナス不正。プロの複数アカウント運用が実際にどう構築されるのか——そしてクラスター全体を1人の不正者へと収束させた、相関する11のシグナルを解説します。
iGamingにおける複数アカウント不正は、大勢の人が余分なアカウントを開設するという話ではありません。単一のプラットフォームに対して数百の合成アイデンティティを走らせ、ウェルカムボーナス、キャッシュバック、プロモーションの支払いを抽出する、プロの運用です。
この経済性が成り立つのは、新しいアカウントの限界費用がほぼゼロ——メール、使い捨ての電話番号、盗まれたまたは合成された身分証明書——である一方、アカウントあたりの限界的な収益が実際のお金だからです。アカウントあたり$50〜200の抽出価値で、1つの事業者に対する200のアカウントはフルタイムの収入になります。
本稿は、2025年に欧州のiGaming事業者に対して確認された実際の攻撃パターンの分析です。名前と詳細は匿名化しています。技法は現行のものです。
セットアップ:不正者が投資するインフラ
本格的な複数アカウント運用者は、小規模なインフラを運用します。
-
レジデンシャルプロキシのサブスクリプション——典型的には911.re、IPRoyal、Smartproxy——で、数十か国にわたるローテーションIPを確保します。コスト:月$50〜200。
-
アンチディテクトブラウザ——Multilogin、Dolphin Anty、GoLogin、Kameleo、AdsPower。これらのツールはいずれも、個別に設定されたフィンガープリントを持つ隔離されたブラウザプロファイルを実行します。コスト:月$50〜150。
-
熟成させたアイデンティティの供給——フォーラムで購入する(検証済みメール+電話+書類スキャンのバンドル)か、生成します。コスト:アイデンティティあたり$5〜30。
-
決済インフラ——プリペイドカード、暗号資産ウォレット、あるいは勝利金を統一されたアカウントの痕跡なしに受け取るためのマネーミュールです。
月間の総オーバーヘッド:$200〜500。6か月で$84,000の抽出価値に対し、ROIは20〜30倍です。
1つの不正アカウントのライフサイクル
すべての合成アカウントは、似たようなパターンをたどります。
1. アンチディテクトブラウザのプロファイルを、新しいフィンガープリント(canvas、WebGL、タイムゾーン、言語、画面解像度)で立ち上げます。
2. レジデンシャルプロキシを割り当てます。典型的には身分証明書の国と一致する国のものです。
3. 熟成させたアイデンティティで登録を完了します。メール、SMS転送サービス経由の電話認証、盗まれたまたは生成された書類のIDアップロードです。
4. KYCが通過します。身分証明書が本物(盗品)か、プロの手で偽造されているからです。
5. 少額の入金——多くの場合$10〜30——を行い、ウェルカムボーナスを有効化します。
6. 賭け条件に対して期待値を最大化する特定のゲーム選択のもとで、ボーナスを消化します。
7. 勝利金を、そのアイデンティティに紐づけられた決済手段へ出金します。
8. アカウントは放棄されるか、売却されます。
サイクル全体は2〜7日です。プロの運用者は、このパイプラインの異なる段階にある20〜40のアカウントを同時に走らせます。
事業者が目にしていたもの
このiGamingプラットフォームの不正対策チームは、第2四半期に異常に気づきました。
-
新規アカウントのボーナス支払い比率が、四半期比で47%から63%に上昇しました。
-
チャージバックは低いままでした。つまり盗難カードではありません。不正は取引レベルではなく、構造的なものでした。
-
自分のアカウント履歴に見覚えがないという、復帰プレイヤーからのサポートチケットが増加しました。
チームは複数アカウント不正を疑いましたが、それを大規模に証明するツールがありませんでした。個々のアカウントは、単体で見れば正当に見えました。異なる名前、異なるIP、異なるフィンガープリント、異なる書類です。
シグナルが実際に示したもの
デバイスインテリジェンスのシグナルをアカウント群に遡及的に適用したところ、217のアカウントが1人の運用者へと収束しました。それらを結びつけたものは次のとおりです。
シグナル1:TLSフィンガープリントの再利用
IPもブラウザのフィンガープリントも異なっていたにもかかわらず、217のアカウントはわずか3つのユニークなJA4ハッシュを共有していました。TLSフィンガープリントはクライアントのライブラリによって生成されます。アンチディテクトブラウザはcanvasとWebGLは偽装できても、TLSハンドシェイクには単一の基盤となるChromiumビルドを使っていました。3つのJA4ハッシュは、運用者がアップグレードしていったアンチディテクトブラウザの3つのバージョンに対応していました。
シグナル2:セッションをまたぐ行動タイミング
217のアカウントの登録時刻は狭い時間帯に集中していました。大半が平日の09:00〜11:00 UTCです。実際のプレイヤーは24時間のサイクル全体にわたって登録します。個々の偽プロファイルがどのタイムゾーンを主張しようとも、単一のタイムゾーンにおける人間の労働時間が運用者の正体を明かしました。
シグナル3:ボーナスのプレイパターン
アカウント間の賭けの戦略はほぼ同一でした。同じゲーム選択(特定の低分散スロット)、ボーナスに対して同じベットサイズ、出金申請までの同じセッション時間です。実際のプレイヤーの好みは千差万別です。アカウント間の統計的な均一性は、スクリプトかプレイブックがなければ不可能です。
シグナル4:マウス移動のマイクロパターン
アンチディテクトブラウザは視覚的なフィンガープリントは偽装しますが、人間がセッションの中でどう動くかまでは偽装しません。217のアカウントのマウスの軌跡には共通の特性がありました。一貫した加速プロファイルを持つベジェ曲線、クリック前に同じ座標へ戻る特定のパターンです。すべて運用者の自動化が生成したものでした。
シグナル5:決済エンドポイントのクラスタリング
アカウントの名義が異なるにもかかわらず、出金は8つのユニークな暗号資産ウォレットを経由していました。無関係なはずのアカウント間でのウォレットの再利用は、利用可能な最も強力なシグナルの1つであり、デバイスレベルの検知をまったく必要としません。
シグナル6:フォント列挙の不整合
アンチディテクトブラウザはフォントリストを偽装しますが、あらかじめ用意されたライブラリからしか選べません。217のアカウントすべてが、わずか5つのテンプレートの限られたプールからのフォント列挙を報告していました。実際のユーザーはインストール済みフォントの一意な組み合わせを持ちます。テンプレートは、その多様性が低すぎたために捕捉されました。
シグナル7:WebGLレンダラーのクラスタリング
アンチディテクトブラウザはGPU文字列をローテーションしますが、固定のセット——典型的には最も一般的な20〜30の消費者向けGPU——からです。217のアカウント全体で、GPU文字列はありえない分布で出現しました。特定のIntelとNVIDIAのモデルへの極端な偏重と、AMDハードウェアの完全な欠如です。実際のユーザー集団はより広いGPU分布を持ちます。
シグナル8:画面解像度の非標準性
アンチディテクトブラウザは画面サイズを生成しますが、一意に見せるために非標準の解像度を使うことがよくあります。実際の画面は1366×768、1920×1080、2560×1440、3840×2160、あるいはひと握りのノートパソコンのサイズです。217のアカウントには、実在のどのディスプレイも使わない1892×1063のようなサイズが含まれていました。
シグナル9:アカウント間のセッションの重なり
2つのアカウントが、異なるアンチディテクトプロファイルからでありながら、同じIPから数ミリ秒差でログインしました。セッションログは、1つのアカウントがログアウトすると数秒以内に別のアカウントがログインすることを明らかにしました。IPは異なるものの、両者を結びつける検知可能な接続特性を伴っていました。プロキシプールはローテーションしていましたが、運用者の行動はローテーションしていなかったのです。
シグナル10:入金元の相関
アカウントへの暗号資産の入金は、12のソースウォレットから来ていました。ブロックチェーン解析は、この12のウォレットが単一の上流の取引所アカウントから資金供給を受けていたことを示しました。資金の流れを追う解析が、クラスター全体を結びつけました。
シグナル11:サポートチケットの言語パターン
一部のアカウントは、6か月の間にサポートチケットを開いていました。その言語パターン——特定の言い回し、文法上の癖、同じ単語の同じ綴り間違い——は、異なる国と言語設定で登録されたアカウント間で共有されていました。
単一のシグナルが破綻する理由
これらのシグナルのどれか1つなら、偶然でありえます。同じTLSフィンガープリントを持つ2つのアカウントは、同じバージョンのChromeを使う2人のユーザーかもしれません。似たマウスの軌跡を持つ2つのアカウントは、クリックの仕方が似た2人のプレイヤーかもしれません。同じウォレットへの2件の出金は、家族で共有するウォレットかもしれません。
強さは組み合わせにあります。217のアカウントが、TLSフィンガープリント、ウォレットのエンドポイント、フォントのテンプレート、画面解像度、マウスのパターン、行動タイミングを共有するとき——それらが独立である確率はゼロへと崩壊します。
プラットフォームが行ったこと
遡及的な解析の後、プラットフォームはアカウント作成時のリアルタイムスコアリングを実装しました。新規アカウントはそれぞれ、この11のシグナルに加えてさらに40のシグナルに基づき、既存アカウントとの類似度スコアを受け取ります。しきい値を超えたアカウントは、ボーナスの適格性判定の前に人手のレビュー対象としてフラグが立てられます。しきい値未満のアカウントは通常どおり進みます。
60日以内に、ボーナス不正の比率はベースラインに戻りました。運用者は別のプラットフォームへ移ったか、インフラに大幅な追加投資をしたか——どちらの結果であれ勝利でした。
このパターンは一般化する
具体的なツールは変わります。シグナルは進化します。しかし根底にある力学——気前のよい獲得プログラムから価値を抽出するためにインフラを構築するプロの不正運用者——は、iGaming、暗号資産取引所、プロモーション偏重のフィンテック、そしてユーザー獲得にお金を払うあらゆるプラットフォームにわたって安定しています。
機能する唯一の防御は、プラットフォームレベルでのシグナル相関です。境界防御(IPブロック、デバイスブロック、単一アカウントのルール)は破綻します。運用者がそれに合わせて最適化するからです。シグナル相関が成功するのは、運用者がすべてを安価にランダム化することはできないからです。アカウントごとの真の独立性のコストは、アカウントごとの収益を上回ります。
このギャップこそが、複数アカウント不正の検知を経済的に成立させるものです。そしてそれこそが、これを防御側が勝てるゲームにしているのです。