デバイスグラフの仕組み
デバイスグラフは、デバイス、アカウント、IP、メール、決済手段といったエンティティをノードとして、それらの間で観測された関連をエッジとしてモデル化します。あるデバイスが3つのアカウントにサインインしたり、2つのアカウントが同じデバイスとネットワークを繰り返し共有したりすると、それらの同時発生がエッジとなり、時間とともに1つの連結した全体像へと積み重なります。
アナリストや自動化システムは、リクエストごとの視点では答えられない問いに答えるためにグラフをたどります。この新しいアカウントは、以前に禁止されたデバイスと結び付いているか。独立に見えるこの50個のアカウントは、実は一握りのデバイスの周りに集まっているのか。グラフ構造は、孤立したイベントが隠したままにする不正リングと共有インフラストラクチャを露呈します。
グラフは、それを支える識別子と同じ程度にしか信頼できません。弱い、あるいはリセット可能なキーはグラフを断片化させ、関連するエンティティを無関係に見せてしまう一方で、安定したデバイス識別子は、攻撃者がIPをローテーションしたりCookieを消去したりしても結び付きを保ちます。共有IP範囲やASNといった拡充は、偶然の重なりと協調的な行動を区別する文脈を加えます。
不正防止においてデバイスグラフが重要な理由
最も被害の大きい不正の一部は、その性質上、共謀的で複数アカウントにまたがります。ボーナスやプロモーションの不正利用リング、複数アカウント不正、組織的な不正は、個々には正当に見える多数のアイデンティティを操作します。デバイスグラフは、それらのアイデンティティを互いに結び付ける共有されたデバイスとインフラストラクチャを浮かび上がらせ、一見無関係なアカウントの集合を、1つとして対処できる可視のクラスターへと変えます。また、正当な共有デバイスの状況を不正利用と区別することで、正当なユーザーも保護します。
TRACIOでの扱い方
TRACIOの安定した訪問者IDは、デバイスグラフ分析を信頼できるものにする錨です。攻撃者がCookieを消去したりIPをローテーションしたりしても、結び付きが持続するからです。ASNやネットワークの種類といったIP Intelligenceの文脈と組み合わせることで、この識別子はチームがアカウントとデバイスを結び付け、協調的な不正利用を示す共有インフラストラクチャのクラスターを見つけられるようにします。