TRACIOは、Selenium、Puppeteer、Playwright、そして独自の自動化フレームワークを、認証エンドポイントに到達する前に検知します。デバイスレベルのレート制限は、ボットがレジデンシャルプロキシを次々に切り替えても阻止します。
2024年に毎月記録されたクレデンシャルスタッフィングの試行回数。攻撃者は5万以上のレジデンシャルプロキシを介して漏洩した認証情報のペアを次々に試すため、IPのみのレート制限は大規模には通用しません。
Akamai 2024 Securing Apps Report
現代のクレデンシャルスタッフィング攻撃は、トラフィックを数万のレジデンシャルプロキシに分散させます。各リクエストは固有の家庭用IPから来ているように見えます。IPベースのレート制限は攻撃が本格化して初めて発動し、しかも過剰な制限は必然的に正規ユーザーをブロックしてしまいます。
CAPTCHAソルバーとヘッドレスブラウザのファームは、従来のボット対策を時代遅れにします。Selenium、Puppeteer、Playwrightは、ほとんどの行動チェックを通過できます。ステルスプラグインは明白な自動化の痕跡を取り除きます。実在のブラウザエンジンが実際のCAPTCHAをレンダリングし、1,000件あたり1ドルでソルバーに支払って突破します。
プロキシの切り替えとCAPTCHAの突破を経ても残るシグナルは、デバイスそのものです。IPやCAPTCHAに関係なく、根底にある自動化フレームワークを識別できれば、クレデンシャルスタッフィングは崩壊します。攻撃者はいつまでもIPを切り替えられますが、デバイスフィンガープリントがボットを暴きます。
TRACIOは、ボットが自らを壊さずには偽装できないハードウェアレベルのシグナルを通じて、自動化フレームワークを識別します。
Selenium、Puppeteer、Playwright、そして独自のフレームワークは、JavaScriptランタイム、ブラウザAPI、レンダリングパイプラインに微妙な痕跡を残します。TRACIOはそのすべてを捕捉します。
ボットはIPを切り替えられますが、ハードウェアをそれほど速く切り替えることはできません。TRACIOはIP単位ではなくデバイス単位でレート制限を適用し、プロキシの切り替えを無意味にします。
同一のデバイスが数十のアカウントでログインを試みると、クレデンシャルスタッフィングのパターンは明白です。デバイスグラフ分析がそれを即座に浮かび上がらせます。
確認されたボットデバイスはブロック、スロットリング、または攻撃者の時間を浪費させるおとりのレスポンスで応答されます。正規ユーザーは摩擦なく続行できます。CAPTCHAもチャレンジもありません。
いずれの攻撃ベクトルも、IPと行動ベースの防御における異なる隙を突きます。TRACIOはハードウェアレベルのシグナルでそれらを塞ぎます。
ボットは、ログインエンドポイントで流出した数百万組のユーザー名とパスワードのペアを次々に試します。デバイスレベルのレート制限は、攻撃者が何個のIPを切り替えても、そのペースを抑え込みます。
各ログインの試みが別々のレジデンシャルIPから発生します。TRACIOはデバイスごとのクォータを適用するため、ごく少数の実マシンがトラフィックを動かしているだけであれば、プロキシプールは無意味になります。
ステルスプラグインはnavigator.webdriverを隠し、APIのリークを塞ぎます。TRACIOはさらに深く調べます。GPUレンダリング、オーディオスタック、フォントの挙動が、偽のランタイム環境を暴きます。
乗っ取られたレジデンシャルデバイスが、クレデンシャルスタッフィングのペイロードを静かに実行します。TRACIOは、クロスアカウントのデバイスグラフ分析を通じて、ボットネットの指令統制のパターンを識別します。
結果は業界ベンチマークと公開された調査に基づいています。
ブロックされるクレデンシャルスタッフィングのトラフィック
Akamai State of the Internet, 2024
認証インフラの負荷の削減
Imperva 2025 Bad Bot Report
正規ユーザーへのCAPTCHA摩擦
NIST Digital Identity Guidelines, 2024
ボット分類の遅延
HUMAN Security, 2026
結果は、業種、攻撃量、既存のセキュリティスタックによって異なります。数値は公開された調査で観測されたレンジを示すものであり、保証ではありません。
Selenium、Puppeteer、Playwright、ヘッドレスChrome、そして独自の自動化フレームワークを検知します。エッジでの50ms未満の分類。
IPの切り替えを経ても保持される、デバイスごとのリクエストクォータ。5万以上のレジデンシャルプロキシを切り替えてもボットを阻止します。
同一のデバイスが短時間に数十のアカウントでログインを試みた場合を識別します。クレデンシャルスタッフィングのパターンを即座に浮かび上がらせます。
すべてのログインの試みに対する50ms未満のリスク評価。APIまたはwebhook経由で返され、認証フローと統合できます。
Multilogin、GoLogin、Dolphin Anty、その他のアンチディテクトツールを、偽装できないハードウェアレベルのシグナルで捕捉します。
正規ユーザーはCAPTCHAも、ステップアップチャレンジも、レート制限によるブロックも経験しません。検知はバックグラウンドで目に見えない形で実行されます。
数行のコードと、必要なものすべてが揃った1つのAPIレスポンス。
import { Tracio } from '@tracio/sdk'// Initialize on page loadconst tracio = Tracio.init({ publicKey: "5ca175fc..." })// Read the identification result before loginconst result = await tracio.getResult()// Block automated clients before they reach your auth endpointif (result.bot.detected) { return showError("Suspicious activity detected")}// Continue with normal login flowawait loginUser(form.email, form.password)