Table of Contents

顧客アカウントの乗っ取りや悪質なアカウントの初期兆候を検出する方法

ハッカーは、アカウント乗っ取り (ATO) や悪意のあるアカウント作成の手法をはるかに巧妙に利用しています。ログイン時だけでなく、アイデンティティライフサイクルのさまざまな時点で、既存の顧客アカウントに侵入する攻撃が発生しています。悪意のある人物が新しいアカウントを登録すると、通常は下流の攻撃の土台が築かれます。
 

もちろん、多要素認証 (MFA) を追加して、トランザクションに重点を置いた不正防止ツールを引き続き使用することもできます。しかし、それでもまだ十分ではありません。さらに、顧客の進路にさらなる摩擦を積み重ねることは、ビジネスにとって悪影響を及ぼします。
 

現実には、攻撃者は顧客のアカウントに侵入したり、ログイン後に悪意のある行動をとったりする可能性があります。顧客が商品を購入したり、口座からお金を引き出したりしているときに捕まえるのを待つのは遅すぎます。顧客の個人情報や機密データが漏洩した場合、ブランドに損害が生じます。信頼を失った顧客は他の場所で取引するようになります。
 

この例えを考えてみましょう。家の玄関に 2 つの鍵をかけ、宝石を保管する金庫に 3 つ目の鍵をかけ、泥棒が窓から侵入して家の中を歩き回り、机の上の書類を漁るのを許してしまうでしょうか?ATO シナリオでは、悪意のある人物が、たとえ取引を行わないとしても、データとセキュリティを侵害します。
 

この記事では、セキュリティ侵害が発生する前に、ATO と悪質なアカウントをリアルタイムで停止する方法について説明します。早期発見が重要であり、顧客体験 (CX) も向上させる方法で早期発見を行う方法について説明します。
 

アカウントの不正使用が急増

適切なセキュリティが整備されていないと、金融機関、オンライン小売業者、サービスプロバイダー、アプリ所有者は皆、負担を感じます。2021年のジュニパーリサーチのレポートによると、米国企業は1年間でATO詐欺により256億ドルの損失を被っています。金銭資産だけでなく、個人情報も盗まれます。セキュリティ侵害は顧客の信頼を揺るがし、収益に悪影響を及ぼす可能性があります。
 

お金に動機づけられる

ATO の増加の原因は何ですか?サイバー犯罪者は詐欺のエコシステムの中で協力して活動しています。これはダークウェブ上で巧妙に組織化されたビジネスであり、多くの人々が脆弱性を調査し、新しい攻撃ベクトルをテストし、トリックを共有しています。これは、ハッカーが盗んだ認証情報や、迅速かつ大規模な攻撃を容易にするツールキットを販売しているアンダーグラウンドと同じです。悪質な行為者の中には、正当な顧客のように見えるよう、忍耐強く「ゆっくりと」行動する人もいます。どちらにしても、彼らはしばしば痕跡を残します…
 

ATO 詐欺または悪質なアカウントの兆候

ほとんどの場合、1 つの危険信号だけでは十分ではありません。ATO または悪質なアカウント詐欺の兆候のほとんどは、複雑な組み合わせで明らかになります。それは、単純な 3 インチのブロックであるルービック キューブを解くようなものです。そんなに難しいことでしょうか?ルービックキューブには43京通りの組み合わせがありますが、20手で解くことができます。つまり、ATO の検出は困難ですが、チャージバックや怒った顧客からのサポートコールが発生するずっと前に実行できます。
 

セキュリティは、何百ものシグナルを調べ、そのデータを最新の脅威インテリジェンスと相関させ、顧客の典型的な行動と比較するために、インテリジェントかつコンテキストに基づいたものでなければなりません。優良な利用者に迷惑をかけないようにするには、リアルタイムのリスク評価を非常に正確に行う必要があります。誤検知が多すぎると、摩擦が増し、顧客を苛立たせるだけです。したがって、1 つの悪いシグナルに過剰反応しないようにしてください。また、このリストは氷山の一角であることを覚えておいてください。
 

1. 異常な行動
固有の顧客を把握し、その特定の個人のアカウントアクティビティとログインパターンを監視することで、ATO を示唆する異常を検出できます。たとえば、ユーザーが次のような場合は、より詳細な検査が必要です。

  • 新しいデバイスからログインする
  • 通常とは異なるブラウザを使用する
  • 異なる場所やタイムゾーンから接続する。移動は不可能
  • 新しいセルラーサービス(ASN)を使用します
  • マウスの動きのような「通常の」行動バイオメトリクスから外れている
  • 新しいパスワード、メールアドレス、電話番号などのアカウントの詳細を変更する

脅威の動作は常に変化しているため、これは完全または静的なリストではありません。繰り返しになりますが、 1 つの変更が詐欺の兆候となることはめったにありません。高リスク信号の組み合わせを識別するインテリジェンスを備えた高度なセキュリティを備えることが重要です。
 

継続的にリスクを探すことで、顧客の完全なプロファイルも構築されます。高い信頼性を持つ顧客であることがわかったら、ユーザー セッションを延長するか、MFA の必要性を減らすことで、摩擦を排除できます。セキュリティが強化されると CX が向上します。妥協する必要はありません。
 

2. パスワードのリセットとアカウントの変更
パスワードのリセットは、特にコール センターでは、他のリスク シグナルも見られる場合、危険信号となる可能性があります。アカウント回復プロセスとコールセンター検証の弱点により、これは顧客アカウントを乗っ取る最も簡単で最も一般的な方法の 1 つとなっています。
 

ハッカーがアカウントを乗っ取ると、メールアドレスや電話番号などのアカウントの詳細を変更しようとする可能性があります。こうすることで、実際の顧客を締め出しながらアカウントを回復し、その制御を維持できるようになります。その過程で、ハッカーは顧客の名前でクレジットを開設するなど、他の詐欺を実行するのに役立つ個人情報も探します。これらは予防可能な大きな問題点です。
 

3. 疑わしいIPアドレス
新しい IP アドレスまたは位置情報は、顧客が旅行中であることを示している可能性があります…または、IP アドレスの変更は詐欺師が通信を傍受しようとしていることを示している可能性があるため、疑わしい可能性があります。たとえば、偽装された IP アドレスは、中間者攻撃で攻撃者自身の身元を隠すために使用される場合があります。地理的位置が顧客の通常の場所と一致しているが、デバイスがプロキシの背後に隠れている場合は、これをリスク要因と見なします。
 

4. 複数のアカウント、同じデバイス
詐欺師がデバイスデータを隠さない限り、ユーザーが同じデスクトップまたはモバイルで複数のアカウントにログインする可能性があります。この点には注意が必要ですが、家族が同じデバイスを共有することが多いので、あまり急いで行動しないでください。デジタルジャーニー全体を通じて顧客の信頼できるデバイスに関する情報 (タイプ、モデル、CPU、画面サイズなど) を収集するには、強力なデバイス フィンガープリンティングが必要です。異常なデバイスやセッション中のデバイス間の切り替えは、セッションハイジャックまたはデバイスの侵害を示している可能性があります。
 

5. デバイスのなりすまし
偽装された IP アドレスと同様に、詐欺師はデバイスの偽装を使用して自分の身元を隠します。デバイス データをマスクすると、デバイスの詳細は「不明」として表示されるか、実際の顧客のデバイス データと一致しなくなります。正規のデバイスよりも「不明な」デバイスに接続されているアカウントのパターンが見られる場合、詐欺のリスクが高くなります。正確なデバイスの詳細を確認でき、それらの詳細は一貫性が保たれている必要があります。
 

6. デバイスエミュレーター
デバイスのなりすましがさらに強化されたと想像してください。詐欺師はデバイス エミュレーターを使用して、デバイスのメーカーやモデル ID を偽装できるだけでなく、高度な設定に侵入して OS バージョンや CPU プロセッサなどを変更することもできます。最も憂慮すべきことは、同時に何千ものモバイル デバイスをエミュレートできることです。
 

これらの強力な機能により、攻撃者はアカウントからロックアウトされることなく、何度もログインを繰り返すことができます。代わりに、すべての試行は、ユーザーが毎回異なるデバイスからログインしようとしているように見えます。デバイス エミュレーターの唯一の正当な使用法はテスト環境でアプリを実行することであるため、デバイス エミュレーターが検出されると、詐欺の強力な指標となります。
 

7. ボットの行動
サイバー犯罪者がクレデンシャルスタッフィングを使用して顧客アカウントに侵入する場合、通常、ボットを使用して、数千、場合によっては数百万のアカウントのログインをテストするプロセスを非常に迅速に自動化します。これらのボットを利用した攻撃を検出するには、次のようなボットの動作を検出する機能が必要です。

  • 自動化フレームワーク
  • 速度率
  • ボットのようなテキスト入力やマウスの動き

これは完全なリストからは程遠く、すべての脅威と同様に、ボットの動作は進化します。また、多くの企業がボットによるログインや顧客アカウントの乗っ取りを防ぐために CAPTCHA に依存していることも注目に値しますが、Anti-CAPTCHA などの低コストのツールが現在では広く利用可能になっており、ハッカーがこのかつては信頼できたセキュリティ対策を簡単に回避できるようになっています。
 

アカウント保護 = ビジネス促進

最新の顧客 ID およびアクセス管理 (CIAM) サービスを使用して顧客アカウントを保護することは、ビジネスを推進する上で重要です。適切に実施すれば、セキュリティが強化され、顧客エクスペリエンスが向上します。また、管理も容易になるため、コストを削減しながら効果と効率を向上させることができます。これらすべてを実行するには、次のことができる必要があります。
 

  1. アカウントの不正使用をもっと早く止めましょう– これについては上で説明しました。それは複雑かつ洗練されており、特定の時点ではなく、任意の時点です。継続的なリアルタイムのリスクと信頼性の評価が不可欠です。
     
  2. 摩擦を減らす– 信頼できる顧客とその行動を把握することで、摩擦を減らすことができます。より強力なセキュリティとより優れたエクスペリエンスは、もはやトレードオフではありません。信頼できる顧客のプロファイルを作成し、それを既知のリスク行動や最新の脅威インテリジェンスと比較することで、両方を実現できます。セキュリティを強化することで CX が向上するというのは稀なケースです。
     
  3. 可視性を高める– データがない場合やサイロ化されている場合はリスクを軽減することはできません。セキュリティ チームと詐欺対策チームは、リスクを測定し、傾向を把握し、サイバー ID に関する適切な決定を下すためのデータを取得できる必要があります。それがなければ、アクセスが拒否された場合に経営陣や顧客にどのように説明できるでしょうか?
     
  4. 簡素化– 複数のベンダー ソリューションや自社開発の CIAM を統合および集約するのは大変な作業です。複雑さは、メンテナンス、CX、進化する脅威に直面した際のセキュリティ体制の維持の面でコストがかかります。単一のベンダーであっても、開発者が「はい、簡単です」と言えるような簡単なものにする必要があります。私たちはこれを短時間で素早く行うことができます。」適切なソリューションにより価値実現までの時間が短縮されるため、リスクを即座に軽減し、信頼を高め、CX を改善し、可視性を高めることができます。
     

Transmit Security が ATO 詐欺を軽減する方法

ここまでで、問題の範囲がお分かりいただけたと思います。重要なポイント: 何百もの信号をリアルタイムで評価するには、動的なリスクと信頼のエンジンが必要です。最新の攻撃手法について継続的にトレーニングされる機械学習 (ML) を活用した、コンテキストに応じたインテリジェントなセキュリティが必要です。市場と脅威の動向に遅れずについていくことは極めて重要です。
 

高度なセキュリティおよび検証サービスは、アイデンティティライフサイクル全体を通じて、ATO 詐欺や不正アカウントの兆候に対する迅速な対応を自動化します。当社のクラウドネイティブ サービスはモジュール化されているため、最も必要なソリューションを展開し、後で拡張することができます。

  • 高度なセキュリティ サービスは、リスクを継続的に検出して軽減し、兆候が現れたらすぐにアカウントの不正使用を阻止します。当社のソリューションは、信頼できる顧客プロファイルを同時に構築し、優良ユーザーを特定して摩擦を最小限に抑えます。リスクがリアルタイムで検出された場合は、パスワードレスおよび MFA サービスを使用してユーザーを認証するか、本人確認で ID を証明することで、信頼を高めることができます。
     
  • 本人確認サービスは、登録前や必要なときにいつでも、不正な人物によるアカウント作成を防止します。ネイティブのドキュメント検証、ID 証明、生体チェックにより、精度が高く、使いやすく、コスト効率も向上します。
     

開発者向けの API を使用すると、 ID セキュリティをビジネス イネーブラーに素早く簡単に変換できます。すぐに次のことが可能になります: 1) アカウントの不正使用を阻止、2) 摩擦を軽減、3) 可視性を高める。

Author

  • Beery Holstein, Senior Product Manager

    Beeryは、エンタープライズセキュリティプラットフォームやクラウドサービスを成功に導いた製品責任者です。それ以前は開発マネージャとして、セキュリティに特化した開発者向けの製品を提供してきた実績があります。

    View all posts