ハッカーは、アカウント乗っ取り(ATO)や悪質なアカウント作成において、その独創性をさらに加速させています。 ログイン時だけでなく、IDライフサイクルの様々な段階で、既存の顧客アカウントに侵入していることが確認されて います。また、悪徳業者が新しいアカウントを登録する場合、通常これはその後の攻撃に向けた土台作りです。
もちろん、多要素認証(MFA)を追加し、トランザクションに特化した不正防止ツールを使い続けることは可能です。 しかし、それでも十分ではありません。さらに、顧客がたどる経路にさらなるフリクションを生じさせることは、ビ ジネスに悪影響を及ぼします。
実際に、攻撃者はログイン後に顧客のアカウントに入り込んだり、悪意のある動きをすることがあります。攻撃者が 顧客のアカウントから買い物をしたり資金を移動した後で捕まるのを待っているのでは遅すぎます。攻撃者が顧客の 個人情報や機密データを侵害すれば、ブランドの評判が損なわれます。ブランドへの信用を失った顧客は他社に乗り 換えることになります。
考えてみてください。家の玄関に2つの鍵をかけ、宝石を保管している金庫に3つ目の鍵をかけていたとしても、結局 は窓から侵入した泥棒が家の中をうろついたり、机の上の書類をあさったりしてしまいますよね?ATOのシナリオで は、悪者はたとえ取引をしていなくても、データとセキュリティを危険にさらすのです。
この記事では、ATOと悪徳業者のアカウントを、セキュリティ侵害が発生する前にリアルタイムで阻止する方法を説 明します。早期検出が極めて重要です。そのため、ここでは早期検出をカスタマーエクスペリエンス(CX)の向上に もつながるように行う方法について説明します。
アカウントの不正利用が急増
適切なセキュリティが整備されていないと、金融機関、Eテイラー、サービスプロバイダー、アプリ所有者のだれも が負担を感じることになります。2021年のJuniper Research社のレポートによると、米国企業は1年間に256億ドル をATOの不正行為により失っています。そして、盗難は金銭的な資産だけでなく、個人情報にまで及びます。セキュ リティ侵害は、顧客の信頼を揺るがし、収益に悪影響を及ぼす可能性があります。
金銭による動機付け
何がATOの増加に拍車をかけているのでしょうか?サイバー犯罪者は、詐欺のエコシステムの中で協力し合っていま す。ダークウェブでは、多くの人々が脆弱性を探り、新しい攻撃手法を試し、手口を共有することで、ビジネスが細 かく組織化されています。ハッカーが盗んだ認証情報や、大規模で迅速な攻撃を容易にするツールキットを販売する のも同じアンダーグラウンドです。一部の悪徳業者は、合法的な顧客に見せかけるために、「ゆっくりと時間をかけ て」攻撃する忍耐力を持ち合わせています。いずれにせよ、彼らはしばしば痕跡を残します。
ATO詐欺や悪徳業者のアカウントの兆候
レッドフラッグ1つだけで十分なことはまれです。ATOや悪徳業者のアカウント詐欺の兆候の多くは、複雑に組み 合わさった形で顕在化します。これは3インチの単純なブロックであるルービックキューブを解くようなものです。 どのくらい難しいでしょうか?そう、ルービックキューブには4300京通りの組み合わせがありますが、20手で解 くことができます。つまり、ATOの検出は困難ではありますが、動揺した顧客からの支払い取消しや支援を求める 電話が殺到するずっと前に、検出することができるのです。
何百もの兆候を調べ、そのデータを最新の脅威情報と関連付け、顧客の典型的な行動と比較するために、セキュリ ティはインテリジェントで状況に応じたものでなければなりません。優良な顧客を混乱させないために、リアルタ イムのリスク評価は高度に正確なものでなければなりません。誤検出が多ければ、フリクションを生み、顧客を困 らせるだけです。したがって、1つの悪い兆候に過剰反応しないようにしましょう。以下のリストは氷山の一角にす ぎないことを覚えておいてください。
1. 異常な行動
顧客固有の情報を把握し、その個人の特定のアカウントアクティビティやログインパターンを監視することで、 ATOを示唆するような異常を検出できます。例えば、ユーザーに以下のような行動が見られる場合、さらに精査す る必要があります。
- 新しいデバイスからログインする
- 通常とは異なるブラウザを使用する
- 異なる場所や(移動が不可能な)タイムゾーンから接続する
- 新しい携帯電話サービス(ASN)を利用する
- 例えばマウス操作などが、「通常の」行動バイオメトリクスから逸脱している
- 新しいパスワード、電子メール、電話番号など、アカウントの詳細を変更する
脅威の行動は常に変化しているため、このリストは完全なものでも、固定的なものでもありません。繰り返します が、1つの変化が1つの詐欺の兆候であることはまれです。リスクの高い兆候の組み合わせを特定するインテリジェ ンスを備えた高度なセキュリティを整備することが極めて重要です。
リスクを継続的に探ることで、顧客の完全なプロファイルも構築されていきます。信頼性の高い顧客であることが 分かれば、ユーザーセッションを延長したり、MFAの必要性を減らしたりすることでフリクションを取り除くこと ができます。セキュリティの向上によってCXが改善されます。妥協する必要はありません。
2. パスワードのリセットとアカウントの変更
パスワードのリセット、特にコールセンターでのパスワードのリセットは、他のリスクの兆候も見られた場合、危 険信号である可能性があります。アカウント回復プロセスとコールセンターの認証における脆弱性により、パスワ ードのリセットは、顧客アカウントを乗っ取る最も簡単で最も一般的な方法の1つとなっています。
ハッカーは、アカウントを乗っ取る際、電子メールアドレスや電話番号といったアカウントの詳細を変更しようと することがあります。こうすることで、本当の顧客を締め出しながら、アカウントを回復し、コントロールし続け ることができます。その過程で、ハッカーは顧客名義のクレジットカードの発行といった、他の詐欺に利用できる 個人情報も探します。これらは大きな痛手ですが、防ぐことはできます。
3. 不審なIPアドレス
新しいIPアドレスやジオロケーションは、顧客が旅行中であることを示しているかもしれませんが、疑わしい場合 もあります。これは、IPアドレスの変更は、詐欺師が通信を傍受しようとしていることを示唆していることがある からです。例えば、なりすましIPアドレスは、攻撃者自身の身元を隠すための中間者攻撃に利用されることがあり ます。ジオロケーションが顧客の通常の位置と一致していても、デバイスがプロキシの後ろに隠されている場合は、 これをリスク要因と考える必要があります。
4. 複数のアカウント、同じデバイス
詐欺師が自らのデバイスデータを隠していなければ、同じデスクトップまたはモバイルで複数のアカウントにログイン しているユーザーの存在を確認できることがあります。この件には注意を払う必要がありますが、家族が同じデバイス を共有することはよくあることなので、あまり急いで行動しないでください。デジタル・ジャーニーを通じて、顧客の 信頼できるデバイス(タイプ、モデル、CPU、画面サイズなど)に関する情報を収集する、強力な端末特定システムが 必要になります。非定型のデバイスや、セッション中のデバイスの入れ替えは、セッションハイジャックやデバイスの 侵害を示唆していることもあります。
5.デバイススプーフィング
IPアドレスのなりすましと同様に、詐欺師はデバイススプーフィングを利用して自分の身元を隠します。デバイスデー タを隠すことで、デバイスの詳細は「不明」、あるいは、実際の顧客のデバイスデータとの不一致のいずれかとなりま す。正規のデバイスよりも多くの「不明」デバイスに接続されているアカウントのパターンが見られる場合、詐欺のリ スクがかなり高いと言えます。正確なデバイスの詳細を表示でき、それらの詳細が一貫したままである必要があります。
6. デバイスエミュレーター
これはデバイススプーフィングをさらに強化したようなものです。デバイスエミュレーターを使用すると、詐欺師はデ バイスのメーカーとモデルIDを偽装できるだけでなく、詳細設定にアクセスしてOSバージョンやCPUプロセッサーな どを変更することができます。最も警戒すべきなのは、何千台ものモバイル端末を同時にエミュレートできることです。
これらの強力な機能により、攻撃者はアカウントからロックアウトされることなく、何度もログインを試みることがで きます。それどころか、すべての試行は、毎回異なるデバイスからログインしようとしているユーザーであるように見 えます。デバイスエミュレーターの合法的な使用用途はテスト環境でアプリを実行することだけであるため、デバイス エミュレーターの検出は詐欺行為を強く示唆しています。
7. ボットの挙動
サイバー犯罪者がクレデンシャルスタッフィングを使用して顧客アカウントに侵入する場合、通常、ボットを使用して、 数百万とは言わないまでも、数千ものアカウントにまたがるログインテストのプロセスを迅速に自動化します。このよ うなボットによる攻撃を検知するには、以下のようなボットの挙動を検出する機能が必要です。
- 自動化フレームワーク
- 速度比
- ボットのようなテキスト入力やマウス操作
これはほんの一部であり、他の脅威と同様に、ボットの挙動も進化しています。また、多くの企業がボットによるログ インや顧客アカウントの乗っ取りを防ぐためにCAPTCHAに依存してきましたが、この頼りにされていたセキュリティ 手段もAnti-CAPTCHAのような低コストのツールが広く出回るようになったことでハッカーが簡単に回避できるよう になっています。
アカウント保護 = ビジネス成功の鍵
最新のCIAM(Customer Identity and Access Management)サービスによる顧客アカウントの保護は、ビジネス成 功の鍵です。正しく行われれば、セキュリティの強化によりカスタマーエクスペリエンスが向上します。また、管理 が容易なため、有効性と効率性を向上させ、コストを削減することができます。これらすべてを実現するには、次の ことを実施できなければなりません。
- アカウントの不正使用をより早く阻止する – これまで説明したように、これは特定の時点ではなく、あらゆ る時点で複雑かつ高度なものとなります。継続的なリアルタイムのリスク評価と信頼評価が不可欠です。
- フリクションを減らす – 信頼できる顧客とその行動を知ることで、フリクションを減らすことができます。 より強固なセキュリティとより優れたエクスペリエンスは、もはやトレードオフの関係にはありません。信頼 できる顧客のプロファイルを構築し、それを既知のリスク行動や最新の脅威情報と照らし比較することで、そ の両方を手に入れることができます。セキュリティの強化がより良いCXを生み出すことは稀なケースです。
- 可視化 – データがない場合やサイロ化された状態では、リスクを軽減することはできません。セキュリティ チームと不正行為対策チームは、リスクを測定し、傾向を把握し、正しいサイバーIDの決定を下すためのデー タを取得できなければなりません。データがなければ、アクセスが拒否されたときに、役員や顧客にどのよう に説明すればよいのでしょうか。
- 簡素化 – 複数のベンダーのソリューションや自社開発のCIAMを統合および集約することは、かなりの負担と なる可能性があります。複雑化すると、メンテナンス、CX、脅威の進化に対応したセキュリティ態勢の維持 といった面でコストがかかります。たとえ単一のベンダーとであっても、開発者に「これは簡単だ。全速力で すぐにできる」と言わしめる簡単なものにする必要があります。適切なソリューションは、価値創造までの時 間を短縮し、リスクの軽減、信頼の向上、CXの改善、可視性の向上を即座に実現することができます。
Transmit SecurityがATO詐欺を防止する方法
ここまでで、課題はお分かりいただけたと思います。重要なことは、何百もの兆候をリアルタイムで評価する動的な リスク・信頼評価エンジンが必要だということです。最新の攻撃手法を継続的に学習する機械学習(ML)を備えた、 インテリジェントで状況に応じたセキュリティが必要です。市場と脅威のダイナミクスに対応していくことは、極め て重要です。
アドバンスドセキュリティおよび認証サービスは、IDライフサイクルを通じて、ATO詐欺や悪徳業者のアカウントの 兆候への迅速な対応を自動化します。当社のクラウドネイティブサービスはモジュール式なので、最も必要なソリュ ーションを導入し、後で拡張することができます。
- アドバンスドセキュリティサービスは、継続的にリスクを検知・軽減し、兆候が現れた瞬間にアカウントの不 正使用を阻止します。当社のソリューションは、同時に信頼できる顧客プロファイルを構築することで、優良 なユーザーを特定し、そのフリクションを最小限に抑えます。リアルタイムでリスクが検出された場合、パス ワードレスおよびMFAサービスによるユーザー認証、または本人確認サービスによるIDの認証によって、信頼 性を高めることができます。
- 本人確認サービスは、入会前など、必要なときにいつでも悪徳業者のアカウント作成を防止します。また、ネ イティブドキュメント検証、IDプルーフィング、ライブネスチェックにより、高精度で、使いやすく、より費 用対効果の高いサービスとなっています。
開発者向けのAPIにより、 IDセキュリティは迅速かつ容易にビジネス成功の鍵へと姿を変え、アカウントの不正使用 を防ぐだけでなく、フリクションを減らし、可視性も得ることができます。
