ベロシティチェックの仕組み
ベロシティチェックは、デバイス、IPアドレス、アカウント、カード、メールといった何らかのアイデンティティに紐づくイベントを、移動する時間枠にわたって数え、その件数を上限と比較します。1時間に1台のデバイスから10件のサインアップ、あるいは1分に1つのIPから50件の決済試行は、正当な利用がめったに生み出さないが自動化された不正利用が日常的に生み出すパターンです。
ベロシティチェックの信頼性は、それが数える対象となるキーの質に大きく依存します。IPで数えるのはプロキシで容易に回避され、Cookieで数えるのはCookieの消去によって打ち破られるため、攻撃者は上限を下回るよう活動を分散させます。こうした回避を生き延びる安定したデバイス識別子は、カウンターが使い捨ての値ではなくデバイスに追従するため、ベロシティチェックをはるかにすり抜けにくくします。
時間枠と閾値は、アクションごと・リスクごとに調整されます。短い時間枠は突発的な自動化攻撃を捕捉し、長い時間枠は緩やかで分散した不正利用を浮かび上がらせます。ベロシティシグナルが単独で使われることはめったにありません。より広範なリスクスコアリングに供給され、そこで高い頻度が他の危険信号と組み合わさって強い判定を生み出します。
不正防止においてベロシティチェックが重要な理由
多くの不正の種類は、根本的に量に関するものです。クレデンシャルスタッフィング、カードテスティング、プロモーションやトライアルの不正利用、大量のアカウント作成は、いずれも実在の人物よりはるかに速くアクションを繰り返すことに依存します。ベロシティチェックは、その共通の行動を直接標的にするため、最も単純で効果的な対抗策の1つです。それらを永続的なデバイス識別子に固定することこそが、攻撃者が思いのままにカウンターをリセットするのを止めるものです。
TRACIOでの扱い方
TRACIOは、Cookieの消去、シークレットモード、IPローテーションを経ても持続する訪問者IDを提供することで、ベロシティチェックを意味あるものにします。そのため件数は、容易にリセットできるキーではなく実際のデバイスに追従します。チームはこの安定した識別子とプラットフォームのSmart Signalsを自らの意思決定の中で組み合わせ、攻撃者が容易には回避できないレートベースのルールを執行します。