すでにロックアウトされてイライラしている顧客にさらなる摩擦を与えることなく、詐欺を防止するアカウント回復プロセスを実装することは、非常に困難です。米国の消費者調査では、 63%が毎月10個のオンラインアカウントからロックアウトされると回答した。アカウントの回復は顧客にとっては面倒ですが、攻撃者にとっては簡単です。結局のところ、リカバリフローは最初のログインをバイパスし、悪意のある人物がこの弱点を悪用します。
銀行、小売業者、その他のサービスプロバイダーは、プロセスが難しすぎるとビジネスを失いますが、プロセスが簡単すぎると、アカウント乗っ取り(ATO)詐欺のコストを被ることになります。摩擦を起こさずに、アカウントを回復する人が本当に顧客であることを確認することが重要です。それは可能です。この記事ではその方法を説明します。しかし、まずは企業が取り組む必要のある課題の衝突について検討してみましょう。
アカウント回復が危険な理由
顧客がユーザー名を覚えている場合は、認証(所有要素)の形式として、パスワード リセット リンクまたはコードを電子メール アドレスまたは電話に送信できます。これは簡単だが面倒なプロセスであり、高いレベルの保証 (LOA) でユーザーの ID を証明するものではありません。電子メール アカウントまたは電話が侵害された場合、悪意のある人物がアカウントを「回復」する可能性があります。
顧客が自分のアカウントにリンクされているメールアドレスや電話番号を忘れたり、アクセスできなくなったりした場合、アカウントの回復はさらに危険になります。このシナリオでは、顧客 (または詐欺師) はセキュリティの質問に答えたり、写真付き身分証明書を提出したりするよう求められる場合があります。推測可能な回答や不正確な回答は詐欺につながりますが、より安全な方法である本人確認では、顧客体験 (CX) が難しいと感じた場合、離脱率が高くなる可能性があります。
顔 ID や指紋生体認証によるフィッシング耐性認証は、これらの問題の多くを解決できます。しかし、顧客が生体認証と秘密鍵を保存したデバイスを紛失したり交換したりした場合はどうなるでしょうか?ほとんどの「パスワードレス」ソリューションでは、アカウントを回復するためにパスワードが必要です。つまり、フィッシングやその他の ATO 戦術に対して脆弱です。
攻撃者がアクティブなセッションを乗っ取ったり侵害したりする可能性があるため、本当にパスワードを必要としないパスワードレス認証であっても、それだけでは ATO を防ぐことはできません。
アカウント回復の脆弱性
顧客にさらなる摩擦を与えることなく不正行為を防止するアカウント回復プロセスを実装するには、すべての脆弱性を調査して対処することが不可欠です。
弱い回復方法: ほとんどの企業は、セキュリティの質問 (KBA)、電子メールのリセット リンク、SMS のワンタイム パスコード (OTP) などを使用していますが、これらの方法はさまざまな理由から完璧ではありません。
- 公開されたセキュリティの質問: 母親の旧姓や子供の頃のペットなど、回答はフィッシングされたり、オンラインで見つかったりする可能性があります。
- 電子メールへの依存: 電子メールのリセット リンクが顧客に届くという保証はありません。詐欺師が電子メール アカウントを乗っ取ると、それが単一障害点となり、攻撃者は被害者のすべてのアカウントのリセット リンクを要求できるようになります。
- OTPキャプチャ: 攻撃者はバンキング型トロイの木馬を使用して、SMS OTP またはプッシュ通知を傍受します。同様に、リモート アクセス トロイの木馬 (RAT) は OTP を盗み、被害者の OS、画面、キーストロークにアクセスします。コードは、アプリケーションの脆弱性を悪用するOTP キャプチャ ボットによって傍受される可能性もあります。SIM スワップや中間者攻撃により、セキュリティの質問、電子メールのリセット リンク、OTP が傍受される可能性があります。
認証情報のフィッシング: 詐欺師はフィッシング攻撃でパスワード リセット メールを使用することが多く、被害者に認証情報、OTP、セキュリティの質問を入力させます。2023 年にはあらゆる種類のフィッシング攻撃が増加し、1,265% 増加しました。これは主に生成 AI (GenAI) によるものです。詐欺師は、画像生成ツールや翻訳ツールを使って、従来の検出を回避し、より多くの被害者を騙す完璧なフィッシング キャンペーンを作成しています。
音声ディープフェイク: GenAI の悪用はコールセンターにまで及び、音声の複製によって音声認証システムを騙し、アカウント回復方法として利用されるようになりました。フィッシング通話やオンラインの音声録音から取得したわずか 3 秒間の音声を使用して、初心者でも音声認証や生体チェックに合格するディープフェイクを作成できます。
偽造ID: 一部の企業では、アカウントの回復に写真付き身分証明書の提示を要求しています。しかし、本人確認を通過するために、詐欺師はオンラインで購入または作成した高品質の偽造IDを使用します。
アカウント回復:間違ったアプローチ
複数ベンダーのソリューションを統合する: 不正検出、ID 検証、認証のための異なるソリューションを追加すると、複雑さが増し、オーバーヘッド コストが増加します。難しい統合、意思決定構造、コーディング、チューニングのサイクルが必要になります。
サイロ化された検出エンジン:それぞれが限られた可視性と検出方法を持つ、異なる不正防止および ID ソリューションにより、データ サイロと盲点が生じ、各アカウント回復要求のコンテキスト全体を評価できなくなります。限られたシグナルセットを分析するとエラーが発生し、顧客に混乱を招いたり、詐欺行為を許したりする可能性があります。
貧弱な CX : 面倒なアカウント回復プロセスと検出エラーにより、摩擦が増大します。不当なステップアップの課題を課すと、顧客は不満を募らせます。
カスタマー サポートへの依存: アナリストの推定によると、カスタマー サポート リクエストの 20 ~ 50% はアカウント回復に関するもので、1 回の通話に 70 ドル以上のコストがかかります。顧客にとって、サポートに電話しなければならないのは面倒であり、ブランドの忠誠心や維持に悪影響を与える可能性があります。
アカウント回復: 正しい方法
AI による不正検出とオーケストレーションは、リスクと信頼に基づいてユーザー フローを適応させ、リスクが発生したときに ID 検証や MFA ステップアップを呼び出したり、LOA が高いときに摩擦を取り除いたりするために不可欠です。その動的な性質はリスクベース認証に似ているため、「リスクベース アカウント回復」という用語が生まれました。
たとえば、顧客が電子メールのマジックリンクまたはワンタイムパスコード (OTP) を使用してアカウントを回復した場合、当社の不正検出エンジンは、行動バイオメトリクスとデバイスのフィンガープリンティングを使用してユーザーを受動的に検証します。リスクの兆候がある場合、オーケストレーションによって別の認証方法または ID 証明を呼び出すことができます。自動本人確認では、写真付き身分証明書やライブセルフィーを最高の精度で分析する、シンプルでガイド付きのプロセスを提供する必要があります。
Transmit Securityによるアカウント回復
Transmit Security は、詐欺防止、身元確認、顧客 ID 管理サービスを 1 つの統合プラットフォームで融合して提供する唯一のベンダーです。
これはアカウント回復にとって何を意味しますか?Transmit Security は、信頼できる顧客のリスクを検出して軽減したり、摩擦を取り除いたりできる、唯一のリスク認識型アカウント回復ソリューションを提供します。統合プラットフォームは、アカウントの回復の保護、UX の最適化、コストの削減、収益の増加など、完全なユースケースにすぐに対応します。
Transmit Security アカウント回復ソリューションには以下が含まれます。
- 認証方法の完全なセット: 1 つのサービスで、パスキー、パスワードレス、電子メール マジック リンク、OTP、KBA、ソーシャル ログイン、または任意の組み合わせを簡単に提供できます。
- 真のパスワードレス MFA: 顧客は信頼を他のデバイスに簡単かつ安全に転送できるため、アカウントを回復するためにパスワードを使用する必要がなくなります。
- 多様な方法による不正検出: AI駆動型行動バイオメトリクス、 デバイスフィンガープリンティング、ボット検出、認証分析は、顧客体験を妨げることなくバックグラウンドで受動的に実行される数百の検出メカニズムの一部です。
- 強力なマルウェア検出:トロイの木馬、パスワード リセット オーバーレイ、キーロガー、OTP 収集、その他の悪意のある動作を含む、新しく進化する脅威を阻止します。
- AI 駆動型 ID 検証: Vision AI は、150 以上の加重分析と ML を使用して ID テンプレート、フォント、ホログラム、その他の機能を検査し、今日の欺瞞的な偽造 ID を検出します。
- 簡単な UX : シンプルな UI が顧客に 3 枚の写真を撮るように指示し、数秒で結果が表示されます。Transmit Security を使用すると、顧客は ID を 1 回だけ送信すれば済みます。たとえば、アカウント開設時にすでに本人確認を行っている場合は、以前に提供した身分証明書と照合した自撮り写真を使用して、後でアカウントを回復できます。
- アイデンティティ管理: 統合されたユーザー ストアにより、各ユーザーのデバイス、認証子、リスク スコア、アプリケーションを 1 つのコンソールから可視化し、単一の真実のソースを実現します。
- アイデンティティ オーケストレーション: これらすべての機能を統合します。コーディングは不要です。統合により複雑さが最小限に抑えられ、亀裂が塞がれるため、詐欺、欺瞞攻撃、偽造 ID などによる不正行為を防止できます。ドラッグ アンド ドロップ ジャーニー エディターを使用すると、アカウント回復フローを簡単に構築し、ID 検証、MFA、または高度な組み合わせを呼び出すかどうかとタイミングを設定できます。
階層化されたプラグアンドプレイのアカウント回復ソリューションでは、クラウドネイティブの機能が連携して、必要な俊敏性、シンプルさ、スピード、正確性を実現するとともに、何百万もの顧客の満足と忠誠心を維持するための回復力と拡張性も提供します。
アカウント回復の使用事例の全文をお読みください。または、ミーティングをリクエストして、お客様固有の課題を解決するためのソリューションをカスタマイズすることもできます。