Discordメンバー認証完全ガイド

Aディスコード・メンバー認証システムは、サーバーを襲撃やスパムボット、altアカウントから安全に保つための唯一で最も重要なツールです。Discordのビルトイン認証レベル-認証済みEメールまたは一定のアカウント年齢を要求-は手始めですが、5分と使い捨てEメールプロバイダーがあれば誰でも簡単に回避できます。

このガイドでは、OAuth2の仕組み、VPNとalt検知の実際の動作、そして正当な会員を遠ざけることなくサーバーを保護する検証エクスペリエンスの構築方法など、本格的な検証の設定について知っておくべきことをすべて網羅しています。

デフォルトのDiscord認証では不十分な理由

Discordには4つの認証レベルが組み込まれている：

1. なし- 誰でもすぐにメッセージを送ることができる
2. 低い- 確認済みのEメールをお持ちの方
3. ミディアム- Discordに5分以上登録していること
4. 高い- 10分以上サーバーのメンバーであること
5. 最高- 電話番号が確認されていること

これらのレベルはサーバー全体に適用され、簡単に回避される：

• 一時的なメールサービスを使って、認証済みメールを一括作成できる
• 攻撃者が古くなったアカウント・ファームを維持する場合、アカウント年齢要件は無意味である。
• 電話認証はVoIP番号やSIMファームで回避できる
• これらの方法はいずれも、実際にその人物が本人であることを確認するものではない。

有料のコミュニティであれ、機密性の高いチャンネルを持つプロジェクトであれ、数百人以上のメンバーを抱える公開サーバーであれ、重要なサーバーには外部サーバーが必要です。ディスコード検証ボットそれはもっと深い。

OAuth2検証の仕組み

のような最新の検証ボットである。復元ハブDiscordのOAuth2プロトコルを使用します。ここでは、その流れをわかりやすく説明します：

検証の流れ

1. メンバーがサーバーに参加をクリックすると、ボタンやリンクのある検証チャンネルが表示される。
2. 会員が認証リンクをクリックするをクリックすると、検証サービスがホストするウェブページが表示される。
3. ウェブページはDiscordのOAuth2認証画面にリダイレクトされます。特定のパーミッション（通常は `identify` と `guilds.join`）を許可するようメンバーに求める。
4. 会員が "Authorize "をクリックするをDiscordの公式画面に表示します。パスワードが認証サービスと共有されることはありません。
5. Discordが認証コードを送信検証サービスに戻る。
6. 検証サービスは、コードをアクセストークンと交換する。これは、メンバーのDiscord ID、ユーザー名、アバターを読み取るために使用します。
7. 追加検査の実施- VPN検出、ブラウザフィンガープリント、alt検出など。
8. すべてのチェックに合格した場合この場合、そのメンバーには自動的にサーバーの検証済みロールが割り当てられます。

収集されるデータ

OAuth2を通じて、検証ボットが受け取る：

• DiscordユーザーID
• ユーザー名と識別記号
• アバターURL
• メールアドレス (`email` スコープが要求された場合)
• 接続を維持するためのリフレッシュ・トークン

これは重要なことだ：ボットがメンバーのパスワードを見ることはない.OAuth2は特に、認証情報を公開せずに限定的なアクセスを許可するように設計されています。メンバーは Discord 独自のインターフェイスを通して接続を承認します。

なぜこれがセキュリティにとって重要なのか

OAuth2接続は、Discordのビルトイン認証ではできないことをサーバーオーナーに提供します。つまり、各メンバーへの永続的な認証リンクです。メンバーが禁止されたり、退会したりしても、サーバーオーナーはそのメンバーが誰であったかを検証した記録を持っています。これはメンバーのバックアップとリカバリサービスの基礎となります。

VPNとプロキシの検出

レイドボットやBAN回避アルトに対抗する最も効果的なツールのひとつは、次のものだ。VPNとプロキシの検出.これがその仕組みだ。

IP分析

メンバーが検証ページにアクセスすると、そのIPアドレスが既知のVPNプロバイダー、プロキシサーバー、データセンターのIPレンジ、Torの出口ノードのデータベースと照合されます。主な指標は以下の通りです：

• ASN（自律システム番号）- データセンターのASNは、合法的な一般ユーザーが使用することはほとんどありません。IPがAWS、DigitalOcean、または既知のVPNプロバイダに属している場合、フラグが立てられます。
• IPレピュテーション・データベース- IPQualityScoreやIP2Proxyのようなサービスは、スパム、詐欺、悪用に関連するIPのデータベースを保持しています。
• 地理的な矛盾- メンバーのDiscordアカウントがある地域に設定されているにもかかわらず、別の大陸のデータセンターから接続している場合、それはシグナルです。

偽陽性への対応

VPNを使っている人すべてが悪意を持っているわけではありません。プライバシーを重視するユーザー、制限の多い国の人々、企業VPNを利用するリモートワーカーは合法的な存在です。優れた検証システムは選択肢を提供する：

• 警告はするが、許可はする- VPNユーザーに手動レビューのフラグを立て、通過させる
• ブロックとオファーのアピール- 検証の試みはブロックするが、サーバースタッフに連絡する方法を提供する。
• 追加の検証を必要とする- VPNユーザーに、CAPTCHAに答えたり、Eメールを提供したりするような余分なステップを求める。

Restore Hubは、サーバーの所有者がVPN検出の感度をサーバーごとに、完全に許可するものから厳密にブロックするものまで設定できる。

オルトアカウント検出

Altアカウント（禁止を回避したり、コミュニティを操作するために使用される二次的なDiscordアカウント）は、Discordのモデレーションにおける最も根強い問題の1つです。検出は、いくつかの補完的な技術によって機能します。

ブラウザ・フィンガープリント

会員が認証ページにアクセスすると、ブラウザは驚くほど多くの識別情報を公開する：

• キャンバスの指紋- ブラウザが特定の画像をどのようにレンダリングするかは、デバイスによって若干異なります。
• WebGLレンダラー- GPUのモデルとドライバーのバージョンによって、ほぼ固有の識別子が作成されます。
• オーディオ・コンテキスト- ブラウザがオーディオ信号をどのように処理するかは、ハードウェア構成によって異なる
• 画面の解像度と色深度- 正確なディスプレイ構成
• インストールされているフォント- ブラウザで利用可能なフォントのセットは、システムによって大きく異なる。
• タイムゾーンと言語設定- 他のシグナルと組み合わせることで、さらに身元を絞り込むことができる。

2つのDiscordアカウントが同じブラウザフィンガープリントから検証された場合、システムはそれらを可能性の高いアルトとしてフラグを立てます。これについては以下の記事で詳しく説明しています。Discordのブラウザ・フィンガープリントを理解する.

口座年齢分析

Discordアカウントの年齢は強力なシグナルです。ここ数日または数週間以内に作成されたアカウントで、すぐに参加して検証している場合は、アルトまたはレイドアカウントである可能性が高くなります。Restore Hubでは、検証フローの一部としてアカウントの最低年齢要件（30日など）を設定できます。

クロスサーバー・インテリジェンス

検証サービスが多数のサーバーにまたがって運用されている場合、単一のサーバーでは見えないパターンを検出することができる：

• 複数のサーバーで認証された後にBANされたアカウントは、強力なネガティブシグナルです。
• ネットワーク内のどのサーバーでも、既知の禁止されたアカウントとブラウザのフィンガープリントを共有するアカウントはフラグが立てられる。
• 短時間に多数のサーバーで検証を試みることは、自動化された動作を示唆している。

カスタム検証ページ

認証ページは、多くの場合、新規会員があなたのコミュニティと最初に実際に接することになります。このページをプロフェッショナルに見せることが重要です。

カスタマイズが重要な理由

• 信頼- 会員が認証を完了する可能性は、ページがプロフェッショナルに見え、貴社のブランディングにマッチしている場合に高くなります。
• コンバージョン- ブランド化された明確な認証ページは、一般的なボットインターフェースと比較して離脱率を低下させる。
• プロフェッショナリズム- 有料コミュニティやビジネスサーバーでは、カスタム認証ページが正当性を示す

リストアハブでカスタマイズできること

• サーバーのロゴと色- 一般的なボット・ブランディングではなく、あなたのブランディング
• ウェルカムメッセージ- サーバーとは何か、なぜ検証が必要なのかを説明するカスタムテキスト
• カスタム背景- 背景画像をアップロード、またはテンプレートから選択
• カスタムドメイン- 一般的なURLではなく、独自のドメイン（例：`verify.yourcommunity.com`）を使用してください。私たちのカスタム検証ドメインの設定ガイド
• リダイレクトURL- 認証に成功した会員の着地点を選ぶ

カスタムボット

完全なブランドの一貫性を求める大規模サーバーのために、レストアハブはカスタムボットをサポートしています：

• 自分の名前とアバターを使って、自分だけのボット・アプリケーションを使う
• 認証メッセージ、DM、役割の割り当ては、すべてあなたのブランドボットから送られます。
• メンバーは "Restore Hub "を見ることはありません。
• すべての機能はそのままで、ボットのアイデンティティだけが変わります。

復元ハブ検証の設定

以下は、セットアップのためのステップバイステップのウォークスルーです。discord oauth2認証をレストアハブと一緒に使用します：

ステップ1：復元ハブをサーバーに追加する

訪問レストアハブ・ネットをクリックしてください。ディスコードに追加.ボットに必要な権限を付与する：

• ロールの管理（検証済みのロールを割り当てる）
• メッセージの送信（検証プロンプトを投稿する）
• チャンネル管理（検証チャンネルを作成または設定する）

ステップ2：検証設定の構成

リストアハブダッシュボードでサーバーを選択し、次の場所に移動します。検証設定:

• 認証された会員が受け取る役割を選択または作成する
• プロンプトが表示される検証チャンネルを設定する
• VPN検出レベルの設定（オフ、緩やか、中程度、厳格）
• 口座の最低年齢を設定する
• ブラウザのフィンガープリントを有効または無効にする
• altアカウント検出の切り替え

ステップ3：認証ページのカスタマイズ

サーバーのロゴをアップロードし、ブランドカラーを設定し、カスタムのウェルカムメッセージを書き、オプションでカスタムドメインを設定します。

ステップ4：フローのテスト

altアカウントを使用するか、信頼できるメンバーに認証フローを進めてもらう。確認してください：

• 認証ページがあなたのブランド名で正しく読み込まれる
• OAuth2の認証がエラーなしで完了
• 検証済みロールは自動的に割り当てられる
• VPN検出は期待通りに機能する（VPNを有効にした場合は、VPNでテストする）

ステップ5：サーバーへのアナウンス

新しい検証システムを説明するアナウンスを掲載する。伝えるべきポイント

• 検証を追加する理由（セキュリティ、スパム防止）
• メンバーが行うべきこと（リンクをクリックし、Discordで認証してください）
• どのようなデータが収集され、どのように使用されるのか（透明性が信頼を築く）
• 検証に問題がある場合の連絡先

アドバンスド有料コミュニティの検証

有料アクセスのあるサーバー（Patreon、Whop、Shopify、その他のプラットフォーム）を運営している場合、検証を決済システムに統合することができます：

• 会員はOAuth2を通じて認証され、無料会員として表示される。
• アクセス権を購入すると、検証システムはそのロールを有料レベルに更新します。
• 支払いが失効した場合、有料ロールは自動的に削除されます。
• 会員は認証されたステータスを保持し、再度認証することなく再購入することができます。

これにより、検証と収益化が連動するシームレスな体験が実現する。

検証分析とモニタリング

検証が開始されたら、そのパフォーマンスを監視することで、体験を最適化することができます：

• 完走率- 認証リンクをクリックした会員のうち、実際にプロセスを完了した人の割合はどのくらいですか？これが70％を下回る場合は、ページが分かりにくいか、要件が厳しすぎる可能性があります。
• ドロップオフ・ポイント- OAuth2画面、VPN検出ステップ、あるいは他のどこかでメンバーが離脱していませんか？離脱ポイントを特定することで、何を修正すべきかがわかります。
• オルト検出率- フラグを立てているアカウントの数は？検出率が非常に高い場合は、検出が積極的すぎる可能性があります。非常に低い場合は、機能していない可能性があります。
• 検証の時間- 検証にかかる平均時間は？もし60秒以上かかるようであれば、何かがフローを遅くしている可能性があります。

Restore Hubはダッシュボードでこれらの分析を提供し、サーバー全体で検証がどのように実行されているかを可視化します。

避けるべき一般的な検証ミス

1. 検証を難しくしすぎる- ステップが増えるごとにメンバーは減っていく。ワンクリック＋1認証にとどめましょう。
2. 検証の存在理由を説明しない- 理由を理解していないメンバーは、検証するよりも離脱する可能性が高い。
3. 公開サーバーでVPNの検出を最大に設定する- プライバシーのためにVPNを利用する正当な会員を失うことになる。
4. モバイル体験を無視- ほとんどのDiscordユーザーはモバイルを使用しています。認証ページが携帯電話でもうまく動作するようにしましょう。
5. 流れを定期的にテストしない- OAuth2 トークンは期限切れになることがあり、ドメインは失効することがあり、ロールは誤って削除されることがあります。毎月テストしましょう。

要点

• Discordの組み込み認証レベルは、本格的なサーバー・セキュリティには不十分だ
• OAuth2ベースの検証により、永続的な認証済み会員記録を提供
• VPN検出、ブラウザフィンガープリント、alt検出が連携して悪質業者をフィルタリング
• カスタム検証ページが信頼と完了率を向上
• Restore Hubは、これらのすべての機能と簡単なセットアッププロセスを兼ね備えています。

本物の検証でサーバーを保護する準備はできていますか？restorehub.netで無料で始めるで、OAuth2検証を5分以内に実行できる。