コンテンツへスキップ
料金
ログイン無料トライアルを開始デモを予約
ボットと自動化

ヘッドレスブラウザ

ヘッドレスブラウザとは、可視ウィンドウやグラフィカルインターフェースなしで実行される本物のブラウザエンジンであり、完全にコードによって制御されます。テストやレンダリングに正当に使われる一方で、スクレイピングやボット攻撃のための一般的な道具でもあります。

仕組み

ヘッドレスブラウザの仕組み

ヘッドレスブラウザは、ChromiumやWebKitのような通常のブラウザと同じレンダリングエンジンを使いますが、画面上のウィンドウを省きます。スクリプトがプログラムでそれを駆動し、ページを読み込み、JavaScriptを実行し、要素をクリックし、その結果のDOMを読み取ります。完全なエンジンを実行するため、単純なHTTPクライアントには扱えないシングルページアプリケーションや動的コンテンツを処理できます。

この能力こそが、ヘッドレスブラウザを攻撃者にとって魅力的なものにしています。フィンガープリンティングやチャレンジのスクリプトが依存するJavaScriptを実行できるため、スクリプト化されたクライアントはページ内コードを実行できないと想定する防御を打ち破ります。規模を拡大すれば、1台のマシンが多数のヘッドレスインスタンスを並列に駆動でき、それぞれが独立した訪問者を装います。

しかし、ヘッドレス環境は検出可能な痕跡を残します。歴史的には、user agent内のHeadlessChromeトークンやnavigator.webdriverフラグといった明白なマーカーを露出していました。それらが修正された場合でも、より微妙な矛盾が残ります。欠落またはスタブ化されたブラウザAPI、存在しないプラグイン、グラフィックスやフォントの異常なレンダリング、欠落したハードウェアセンサー、そしてインタラクティブなセッションとは異なるタイミング動作などです。

悪意あるヘッドレストラフィックの運用者は、プロパティにパッチを当て、値を偽装し、偽の人間入力を追加することで、これらの痕跡を消そうとします。したがって検知は内部的な一貫性に焦点を当て、ブラウザが露出する多数の独立したシグナルが実際に互いに整合するかどうかを確認します。あらゆる表面にわたって完全に自己整合した偽装を維持することは困難だからです。

重要な理由

不正防止においてヘッドレスブラウザが重要な理由

ヘッドレスブラウザは、現代のWebアプリケーションを端から端まで実行しながらも安価にスケールできるため、高度な自動化不正の主力です。価格やコンテンツのスクレイピング、自動アカウント作成、チェックアウトや在庫のボット、JavaScriptベースのチャレンジを生き延びるクレデンシャルテストを駆動します。粗雑なHTTPスクリプトのブロックを超えて進む必要のあるあらゆる防御にとって、それらを検知することは不可欠です。

TRACIOでは

TRACIOでの扱い方

TRACIOは、ヘッドレスエンジンが生み出す環境やレンダリングの矛盾を探し、グラフィックスのレンダリング、利用可能なAPI、ハードウェア特性といったシグナルを、セッションが名乗るブラウザと突き合わせます。ヘッドレスインスタンスが宣言した身元をローテーションしても、基盤となるデバイスインテリジェンスはそれらの試行を関連付けることができます。自動化判定は標準の識別レスポンスの一部として提供されるため、リアルタイムで対処できます。

FAQ

よくある質問

すべてのデバイスを自信を持って識別

月間2,500回のAPI呼び出しの無料プランから始められます。クレジットカードは不要です。