アイデンティティ管理とセキュリティの世界では、詐欺師は時代遅れのデバイス識別方法の弱点を悪用して、常に戦術を進化させています。不正行為、アイデンティティ、デジタル エクスペリエンス チームにとって、デバイス アイデンティティの保護はこれまで以上に重要になっています。しかし、多くの組織は依然として、もはや効果的ではない断片化された時代遅れのソリューションに依存しています。
信頼と安心の物語
ここで、Sarah という名前のユーザーを想像してください。彼女は銀行アプリにログインして、大きな買い物をする前に残高を確認しようとしています。しかし、彼女は知らないうちに、詐欺師たちが監視しており、銀行のセキュリティ対策の弱点を突く準備をしている。
この場合、サラの銀行は、彼女のデバイスを検証するために従来のデバイス識別方法に依存していましたが、残念なことに、詐欺師はこれらの弱点を悪用しました。以前のセッションからクッキーを乗っ取ることで、彼らはサラのデバイスを模倣し、取引リクエストが彼女の携帯電話から送信されたように見せかけることができました。同時に、モバイル デバイスの ID が偽装されましたが、警告は発せられませんでした。
このブログ投稿は、弊社の継続中の ID ベースの不正防止ブログ シリーズの一部であり、従来のデバイス識別方法の限界を探り、多層戦略を採用することの重要性を強調しています。明示的な ID メカニズムと暗黙的なシグナル (行動バイオメトリクスなど) を組み合わせることで、サラのようなユーザーにとってより安全で安心なデジタル エクスペリエンスを実現できます。
従来のデバイス識別:不十分な点
従来のシステムは、多くの場合、Cookie、トークン、モバイル OS が報告するデバイス ID などの方法に依存しています。これらの技術は広く使用されていますが、重大な制限があります。
- クッキーとトークン:簡単に盗まれて再生されるため、攻撃者がセッションを乗っ取ったり、正当なユーザーになりすましたりすることができます。
- モバイル デバイス ID:ある程度信頼性はありますが、消去または偽装される可能性があり、その場合、有効性が低下します。
- ブラウザフィンガープリンティング:データ収集を制限するプライバシー規制によって制限されているため、この方法の効果は低くなります。
サラの物語が示すように、こうした伝統的な方法は時代遅れになりつつあります。クッキーが廃止される可能性や巧妙な詐欺手法の増加により、より堅牢で適応性の高いソリューションが求められています。
永続的なアイデンティティの重要性
従来、組織はデバイス識別に対して、明示的 ID と暗黙的 ID という 2 つの主なアプローチを採用してきました。さまざまなベンダーや ID プロバイダーが、いずれかの方法を提供することでセキュリティ対策を改善しようとしてきました。しかし、これらの方法の 1 つだけに焦点を当てると、どちらのアプローチも完璧ではないため、詐欺師が悪用できる隙間が残ることがよくあります。
- 明示的な IDには、暗号バインディング キーなど、デバイスによってアクティブに提供される具体的な識別子が含まれます。これをチップ付きのクレジットカードの使用と考えてください。これは、はるかに安全で、攻撃者が回避するのが困難です。
- 暗黙的な ID は、積極的な宣言なしにデバイスの特性や動作から受動的に信号を収集します。これらの信号は詐欺の検出に不可欠ですが、犯罪現場での状況証拠と同様に、補助的な証拠として役立ちます。
サラのようなユーザーに最高のセキュリティを確保するには、組織は暗黙的なシグナルを使用して異常を検出し、デバイスの信頼性を検証しながら、永続的な明示的な ID に依存し始める必要があります。この階層化アプローチは、セキュリティを強化するだけでなく、誤検知のリスクも最小限に抑えます。
多層的なアプローチが不可欠な理由
詐欺の手口は常に進化しており、デバイス識別に対する静的なアプローチだけでは不十分です。複数の種類のシグナルを組み込んだ多層アプローチにより、不正行為に対するカバレッジと耐性が向上します。この戦略の主要な構成要素は次のとおりです。
- 暗号化バインド キー:これらの暗号化アンカーはデバイスのハードウェアに結び付けられ、安全で永続的な形式の識別を提供します。デバイスを所有するユーザーによって消去することはできますが、攻撃者がアクセスしたり盗んだりすることはできません。デバイスは暗号化チャレンジに署名する必要があり、その後、システムによって検証されます。これは、クレジットカードの物理チップが決済端末によって検証される方法に似ています。
- デバイス フィンガープリンティング:デバイス フィンガープリンティングでは、数百の特性を収集して分析することで、デバイスの動的なプロファイルを作成し、微妙な変更や潜在的ななりすましの試みを検出できます。
- 行動バイオメトリクス:ユーザーがデバイスをどのように操作するか (入力パターン、スワイプ動作) を分析することで、不正行為を検出するための保護層がさらに強化されます。
- AI 駆動型行動プロファイリング: AI を搭載したユーザーおよびエンティティ行動分析 (UEBA) を組み込むと、ユーザーのプロファイリングを継続的に行い、コンテキストを理解することで不正検出を大幅に強化できます。
- モバイルネイティブのセキュリティ:モバイル アプリが詐欺師の主なターゲットになるにつれて、ユーザーと企業の両方を保護するためにモバイル デバイスのセキュリティ保護が不可欠になります。モバイル ネイティブ セキュリティは、すでに信頼されているデバイスを悪用するマルウェア、リモート アクセス制御、オーバーレイ攻撃などの脅威に対処します。たとえば、詐欺師はマルウェアを使用してデバイスのアクティビティを監視したり、オーバーレイ攻撃を開始して正規のアプリ インターフェースを模倣し、ユーザーを騙して機密情報を提供させたりします。モバイル ネイティブ セキュリティは、このような種類の脅威を検出して軽減することで、信頼できるデバイスであっても、高度な悪用の試みから保護された状態を維持できるようにします。
コラボレーションの力
進化する詐欺防止の世界では、コラボレーションが強力なツールになりつつあります。デバイスのフィンガープリントや組織化された行動パターンなどの受動的なテレメトリ データをリスク指標や脅威インテリジェンスとともに共有することで、組織、銀行、企業のコンソーシアムが共同でより強力な防御を構築できます。この共有された情報により、疑わしい活動を早期に検出し、詐欺が広まる前に迅速な対応が可能になります。
この共同アプローチを明示的および暗黙的な ID 信号の階層化戦略と組み合わせると、デバイス識別の精度が大幅に向上し、既知のリスクを軽減するのに役立ちます。たとえば、サラさんの場合、銀行は再利用されたクッキー(よくあるクレデンシャルスタッフィングの手口)からの疑わしいアクティビティを検出し、サラさんのアカウントを保護するための積極的な対策を講じることができます。アクセスを許可する代わりに、銀行のシステムはステップアップ認証を要求し、詐欺行為を拒否してサラにリスクを警告することができます。このメッセージにより、パスキーなどの強力な認証方法を登録するように促され、侵害された資格情報に依存する将来の攻撃からアカウントをさらに保護できるようになります。この階層化されたプロアクティブなアプローチにより、Sarah のようなユーザーは、高度な脅威に対する銀行の防御力を高めながら、自身のセキュリティを強化することができます。
さらに、この階層化されたアプローチにより、銀行はサラとの信頼関係を確立できるだけでなく、サラが独自の信頼の基準を設定できるようになります。サラがより厳格なデバイスチェックを好むか、よりスムーズな体験を好むかにかかわらず、銀行はサラの快適レベルに合わせてセキュリティ対策を調整することができます。この柔軟性により、詐欺師が悪用できる隙間を残さずに、セキュリティとユーザー エクスペリエンスのバランスが確保されます。
コラボレーションを活用し、多層戦略を採用することで、組織はサラのような顧客の安全を確保しながら、全体的なエクスペリエンスを向上させることができます。その結果、新たな詐欺行為に継続的に適応し、利便性とともにセキュリティも進化するシステムが実現します。
結論: 階層化アプローチはデバイスインテリジェンスの未来である
不正行為の防止にはデバイス識別に対する多面的かつ階層的なアプローチが必要であるため、組織は進化する戦術と変化する消費者行動に適応する必要があります。安全でスムーズなデジタル エクスペリエンスを構築するには、企業は以下を組み合わせる必要があります。
- 強力で永続的なデバイス ID のための暗号化バインド キー。
- デバイス フィンガープリンティングにより、変更を追跡し、異常を検出し、匿名化されたトラフィックを識別します。
- 継続的な信頼性評価のための行動バイオメトリクスと AI 駆動型プロファイリング。
- 増大するモバイル詐欺の脅威に対処し、モバイル エンドポイント/デバイスを保護するモバイル ネイティブ セキュリティ。
明示的および暗黙的な ID シグナルの両方を優先するこの階層化戦略を採用することで、企業は不正検出機能を強化し、ユーザーを保護し、詐欺師の一歩先を行くことができます。このアプローチは、収益を保護するだけでなく、シームレスでポジティブなユーザー エクスペリエンスを促進し、サラのような顧客が他のより信頼性の高い代替手段を探すのではなく、忠誠心を維持し、エンゲージメントを拡大するように促します。
