01
IP を変えても bot は隠れない
JA4 fingerprint は、TLS handshake から取り出すクライアントの「指紋」だ。
攻撃ツール (curl / python / chromium-bot など) ごとに決まっていて、IP も国も VPN も
User-Agent も、どれだけ切り替えても変わらない。
unmask は IP だけでなく JA4 単位でも BAN できる。botnet が IP を入れ替えても、
ひとつの判定でまとめて止まる。
02
nginx 本来の性能
一度通過した訪問者 (cookie を持つ再訪) は、nginx のワーカー内だけで検証が完結する。
サブリクエストも追加のホップもなく、素の nginx とほぼ変わらないスループットが出る。
アクセスの多いサイトの前段にも、そのまま置ける。
03
SEO セーフ
Googlebot / Bingbot / GPTBot / ClaudeBot など主要な検索・AI クローラーは、
既定で絶対にブロックしない。UA の一致 または 公式 IP レンジの一致、どちらかを満たせば通過させる
(正規クローラーの取りこぼしゼロを最優先)。250 以上のパターンを組み込み済み。
04
fail open
unmask が落ちても nginx は止まらない。通過済みの訪問者は cookie 検証だけの
速い経路を保ち、まだ通過していない訪問者にも PoW / CAPTCHA は出ず、
目的のページがそのまま表示される (unmask を入れていないときと同じ動きに自動で戻る)。
「守りは落ちても web は動き続ける」を既定にし、
深夜の障害でサイトごと落ちる事故を、仕組みとして防ぐ。
05
直感的な管理画面
設定ファイル 1 つと web UI ですべて設定できる。ダッシュボードでは 30 日分のチャート・cookie 通過率・国別・ファネルを確認でき、
hunt 画面では直近のイベントをワンクリックで BAN / verdict 追加できる。
深夜に設定ファイルを手で書き換える必要がなくなり、日々のメンテナンスの負担を軽くする。
06
データは自社内で完結
すべて自社のサーバーで動く。challenge 判定・cookie・IP・JA4・イベントログは
自分のサーバー内で完結し、利用者の行動が外部の SaaS に漏れることはない。
特定ベンダーへの縛りもなく、GDPR や個人情報保護法との整合も、自社のポリシーで取れる。