多くの人は、ブラウザーでの複数アカウント管理において、単にアカウントを切り替えたりCookieをクリアしたり、さらには別のブラウザーを使用するだけで、ウェブサイトに自分の身元が特定されなくなると信じています。しかし実際には、多くのプラットフォームが依然としてこれらのアカウント間の関連性を検出でき、その背後にある重要な識別技術の1つがCanvasフィンガープリンティングです。

CanvasフィンガープリンティングはIPアドレスほど明白ではなく、Cookieのように簡単に削除することもできません。それでも、この技術により、ウェブサイトはユーザーに全く気づかれることなくデバイス環境を識別できます。今回は、Canvasフィンガープリントとは何か、またそれがどのようにしてクロスアカウントのブラウザー識別を実現するのか、詳しく解説します。

1. Canvasとは

CanvasはHTML5が提供する描画機能で、正式名称はHTML5 Canvas APIです。コードを介して、ウェブページ上でブラウザー内に画像、テキスト、図形を描画することができます。グラフ、認証コード、ダイナミックアニメーション、ゲーム画面、フォントレンダリングなど、多くのエフェクトがCanvasに依存しています。

一見ただの描画機能に見えますが、問題は異なるデバイスが同じ画像をレンダリングする際に生じる微細な違いにあります。

2. Canvasフィンガープリントとは

Canvasフィンガープリンティングは受動的なデバイス識別技術です。ウェブサイトはブラウザーに指示し、バックグラウンドで隠し画像を秘密裏に描画させます。例えば特定のフォントのテキスト、複雑な図形セット、または特定のカラーグラデーションなどです。そして生成された最終的なピクセルデータを読み取り、ハッシュ文字列に変換します。

視覚的にはほぼ同一に見えても、オペレーティングシステムのフォントレンダリングメカニズム、ブラウザーのグラフィックスエンジン、グラフィックカードとドライバー、画面のアンチエイリアシングアルゴリズムなどの要因により、システムが生成するピクセルデータには微細な違いが生じます。これらの違いが最終的に、安定した高精度なデータ、すなわちデバイスフィンガープリントを形成します。

3. Canvasフィンガープリンティングがクロスアカウントで身元を識別できる理由

多くの人は、アカウントを切り替えればウェブサイトに身元が特定されなくなると誤って考えています。しかし、ウェブサイトのリスクコントロールシステムはアカウント情報だけに依存するのではなく、デバイス環境も評価対象としています。

同じコンピューターでアカウントAにログインし、ログアウトしてCookieをクリアした後、アカウントBを登録・ログインする場合を考えてみましょう。多くの人はこれらがまったく新しい2つの身元を表すと思うかもしれません。しかしシステムは、アカウントAとアカウントBが同じIPアドレス、ブラウザーバージョン、画面解像度、そしてCanvasフィンガープリントを共有していることを検出します。

リスクコントロールシステムから見れば、これは同一デバイスから複数のアカウントが操作されていることを示します。ChromeやEdgeなど、ブラウザーを切り替えた場合でも、オペレーティングシステム、グラフィックカード、フォント環境は変わらないため、Canvasのレンダリング結果は通常、非常に類似したものになります。そのため、Canvasフィンガープリントはアカウントレベルではなく、デバイスレベルの特徴です。

4. Canvasフィンガープリンティングは単独で使用されるのか

一般的にはいいえ。実際のリスクコントロールシステムでは、この技術はブラウザーフィンガープリンティングの一部として統合され、以下を含むその他の情報と組み合わせて使用されます。

• ブラウザーの種別とバージョン

• 画面解像度

• タイムゾーンと言語

• WebGLフィンガープリント

• オーディオフィンガープリント

• フォントリスト

単一の信号は必ずしも完全に安定しているとは限りませんが、複数の信号を組み合わせることで、識別精度が極めて高くなります。

5. ウェブサイトがCanvasフィンガープリンティングを使用する理由

多くの人は、ブラウザーまたはデバイスフィンガープリントの収集を侵入的なデータ収集と見なしています。しかし、主流のウェブサイトの大半は、以下の主な理由からこの技術を採用しています。

1. アカウントセキュリティとリスクコントロール

ログインデバイスに急激な変化が生じた場合、または同一デバイスから複数のアカウントが発信された場合、システムはリスク行動を識別できます。例としては、クレデンシャルスタッフィング攻撃、アカウント盗難によるログイン、悪意のある一括登録などが挙げられます。

2. 不正行為防止とボット対策

自動スクリプトは通常、仮想マシン、ヘッドレスブラウザー、またはオートメーションフレームワーク環境で実行されます。これらの環境のCanvasレンダリング特性は、異常に均一であったり存在しなかったりする傾向があるため、人間以外のユーザーとして容易に識別できます。

3. 複数アカウントの悪用防止

一部のプラットフォームでは、ユーザーに単一アカウントの使用を制限しています。Canvasフィンガープリンティングは、同一デバイスから複数のアカウントが操作されているかどうかを識別し、アカウントの一括操作を検出するのに役立ちます。

6. Canvasフィンガープリンティングを回避する方法

多くのユーザーは、正当な目的で複数のアカウントを管理または運用する必要があります。残念ながら、プラットフォームは各アカウントの具体的な操作を審査せず、このような行動を直接異常としてフラグを立て、アカウントの制限や禁止につながることが多いです。そのため、特定のプラットフォームではCanvasフィンガープリンティングを回避する必要があります。

弊社では、MostLoginフィンガープリントブラウザーのような高性能なフィンガープリントブラウザーの使用を推奨します。このツールを使用すると、異なるアカウントやブラウザーウィンドウに固有のCanvasフィンガープリントを割り当てることができ、プラットフォームのリスクコントロールシステムに検出されることを防げます。

多くのプラットフォームでは、CanvasフィンガープリントはUser-Agent（ブラウザーの種別とバージョン）、画面解像度、タイムゾーンと言語、WebGLフィンガープリントなどの他のデータポイントと組み合わせて使用されます。MostLoginフィンガープリントブラウザーは、複数種類の情報の変更と難読化に対応しているため、理想的なソリューションと言えます。

現在、MostLoginフィンガープリントブラウザーではパイオニアプログラムを提供しています。クラウドフォンサービスを除き、フィンガープリントブラウザーのすべての機能が完全に無料で利用できます。マーケティングチームや関係者の皆様、ぜひお試しください！

結論

全体として、Canvasフィンガープリントはブラウザーのレンダリングの違いから導き出されるデバイスの特徴です。単にCookieをクリアしたり、アカウントを切り替えたり、さらにはブラウザーを変更したりするだけでは、多くの場合、異なるオンライン身元を完全に分離することはできません。長期的に安定して複数のアカウントを運用する必要のあるユーザーにとって、フィンガープリントブラウザーを使用して環境を分離し、関連性のリスクを低減することは不可欠です。

よくある質問

CookieをクリアするとCanvasフィンガープリントの追跡を防げるのか

防げません。Canvasフィンガープリントはデバイスレベルの特徴であり、Cookieの有無とは直接的な関連がありません。

ブラウザーを切り替えるとCanvasフィンガープリンティングを回避できるのか

通常は回避できません。同一デバイス上の異なるブラウザーによるCanvasのレンダリング結果は、依然として非常に類似したものになります。

Canvasフィンガープリンティングは単独で識別の根拠として使用されるのか

一般的にはいいえ。User-Agent、画面パラメーター、タイムゾーン、WebGLフィンガープリントなど、他の複数のフィンガープリントと組み合わせて使用されます。

プラットフォームがCanvasフィンガープリンティングを使用する理由は何か

主にアカウントセキュリティの確保、不正行為の防止、および複数アカウントや自動操作の識別のためです。

フィンガープリントブラウザーはどのように関連性のリスクを低減するのか

異なるアカウントに対して独立したブラウザー環境を作成し、各環境に異なるCanvasフィンガープリントを含む各種フィンガープリントパラメーターを設定することで、リスクを低減します。