オンライン不正対策を検討する際に、必ず押さえておきたい4つのポイントとは?(前編:現状把握編)

はじめに

新型コロナウィルスの拡大に伴い新しい生活様式が広がりました。例えば消費者では、なるべく人と人との接触を避けるため、オンラインでの商品の購入や、キャッシュレス決済の利用機会が増えています。また事業者では、売上の維持のため、ECの活用により力を入れるような企業も増えています。

一方で、世間を大きく騒がせるようなオンライン不正も多く発生しています。例えば、

  • EC事業者におけるクレジットカードの不正利用によるチャージバック
  • リスト型攻撃等でのアカウント乗っ取り並びにアカウント不正利用
  • キャッシュレス決済事業者の銀行口座連携機能を利用した不正送金

等が挙げられます。

よりデジタルを活用したビジネスを拡大していきたい反面、こういった事件がきっかけで利用者の信頼を失い、サービス停止に追い込まれた事業者もいます。また攻撃者の特性を十分に理解せず、やみくもに本人確認や認証強化を行うことで利便性が損なわれ、利用者が離れていってしまうケースも考えられます。

本ブログでは連載形式で2回に分け、オンライン不正の現状について解説するとともに、今後のビジネスの拡大のために講ずるべきオンライン不正対策とは何か?について下記4つのポイントから述べていきたいと思います。

<前編:現状把握編(※本ブログとなります)>
1:昨今の高度化するオンライン不正の現状
2:常に変化し続ける攻撃パターン

<後編:対策編>
3:セキュリティとユーザ利便性のバランスの難しさ
4:今後考えるべきオンライン不正対策

ポイント1:高度化するオンライン不正の現状

「自社サイト内」で発生する場合と、「事業者間の連携」で発生する場合の2つに分けて考えてみます。

<自社サイト内>

ECサイトにおけるクレジットカードの不正利用によるチャージバックの発生

悪意のある第三者が何かしらの方法で不正にカード情報を取得し、サイト上で不正に商品を購入したとします。カード会社は、カード所有者に対して請求を行いますが、カード所有者は身に覚えのない請求の場合不正利用として取り消しを求めます。カード会社は調査の結果、不正利用と判定できた場合は、カード所有者への請求取り消し(チャージバック)を行います。チャージバックの補填費用は、保険等で負担される場合もあります。しかし多くの場合、カード会社が不正利用行われたサイトの事業者に対し、売上取り消しを行います。そのため、商品配送済みの場合、商品が返ってこずEC事業者側が負担となるケースが増加しています。1_chargeback.png

EC事業者にて、注文処理時に明らかに不正な場合(例:カード発行国が海外など)は事前に注文取消しをすることができますが、より正規ユーザと近い購入者情報の特徴(例:会員住所が日本の住所など)があり、不正な購入を行った場合は見分けるのは困難になります。

・リスト型攻撃等でのアカウント乗っ取り並びにアカウント不正利用の発生

正規利用者のログイン情報を利用し、不正利用者が不正にログインすることを「アカウント乗っ取り」といいます。ダークウェブやフィッシング詐欺等で不正に入手したログイン情報を利用する場合もあれば、パスワードリスト攻撃等でログイン情報を推測する場合もあります。不正ログイン後は、被害アカウントの会員情報の書き換えを行い、正規ユーザがログインできなくしたり、アカウントに紐づくクレジットカード情報やポイントを利用して不正に取引を行ったりします。

2_account.png

EC事業者にとっては、ログイン自体は通常のユーザと変わらずID、パスワードを利用してログインするため正常か不正かの判断がつきにくい状態となります。ログイン時にメール等でログインを通知する機能があるサイトの場合は、不正ログイン時に正規ユーザが気付く場合もあります。一方、ログイン通知がない場合や、あったとしても気が付かない場合もあり、対応が遅れると金銭的な被害や個人情報の漏洩等につながってしまう恐れがあります。

<事業者間の連携>

・キャッシュレス決済事業者の銀行口座連携機能を利用した不正送金の発生

不正利用者は、銀行口座情報やその一部を何かしらの方法で取得します。カード情報だけでは、ATMからの引き下ろしもできません。また不正利用者がオンラインバンキングを利用しようとしても、ログイン情報やワンタイムパスワードをフィッシング等で取得しない限り困難となります。そのため最近では、不正利用者が以下のように他のキャッシュレス決済事業者を通じて預金を引き出そうとする傾向があります。

・キャッシュレス決済事業者のアカウントを作成
・キャッシュレス決済事業者のアカウントにおいて、銀行口座連携機能を利用し、不正に取得した銀行口座情報を登録
・不正チャージ

3_hikidashi.png

キャッシュレス事業者での口座連携時に送金元の銀行において十分な本人確認がされていない場合は、不正送金が成功してしまう恐れがあります。また不正利用者がキャッシュレス決済事業者上で複数のアカウントを簡単に作成できる場合には、意図的に複数用意して銀行口座連携、ならびに不正チャージを試されてしまう可能性もあります。

以上、オンライン不正の現状について簡単に述べましたが、オンライン不正の高度化のポイントとしては

【オンライン不正の高度化のポイント】
1)より正規ユーザに似せた購入者情報を利用(※)して、商品購入を不正に行っている
  ※例:カード発行国が日本のクレジットカード情報を使う、日本に実在する住所を利用する、など
2)正規ユーザとの違いに気が付かれにくい形で、不正ログインを行っている
3)最近出てきたキャッシュレス事業者の銀行連携機能を悪用している
といった点が挙げられるかと思います。

ポイント2:常に変化し続ける攻撃パターン

攻撃者は、なるべくEC事業者に気付かれない形で不正を働くことを考えています。攻撃者は、具体的にどのような点を意識して、検知の回避を試みているのでしょうか。それぞれのオンライン不正の場合で、考えてみたいと思います。

・クレジットカード不正決済
不正利用者が不正に入手したカード情報で決済する際には、偽の名前や使い捨てのメールアドレス、仮の配送先住所等を用意しつつ、購入を試行していると考えられます。また、一つのアカウントで何回も頻繁にカード情報を変えて決済していると怪しいと感じられるため、過去に作ったアカウントを利用している場合もあると考えられます。

・アカウント乗っ取り
送信元(IPや端末情報)を変えたり、攻撃対象のIDを変えたりすることで事業者側のシステム上で気付かれにくくしていると考えられます。また攻撃対象のIDでのログイン成功確率を高めるために、新規会員登録機能やパスワードリセット機能を悪用し、存在しているIDかチェックする場合もあります。

・銀行口座からの不正送金
特定のキャッシュレス決済事業者の1つのアカウントに複数の銀行口座から送金をすると、ふるまいとして見つかる可能性が高くなります。そのため、アカウントを複数用意して一つずつ銀行口座を登録するケースや、複数のオンライン決済事業者に分散して口座連携を行っているケースがあると考えられます。

4_attacker.png



さいごに

前編では、話題のオンライン不正の現状について、取り上げました。
気になる後編(対策編)は「続きはこちら」より、ご覧いただけます。

続きはこちら1.2.png

今後のオンラインでのビジネスの重要性については言うまでもありません。そして、ビジネスの成長を止めないセキュリティ対策についても同時に考えていくべきだと思います。オフラインからオンラインへのデジタルの利活用を推進するようなデジタルトランスフォーメーションが話題となっています。同時にオンライン不正に対応するためのセキュリティの意識の変革(セキュリティトランスフォーメーション)も考えていくべきではないでしょうか。
マクニカネットワークスでは、最先端のテクノロジーを活用したオンライン不正対策の導入を支援させていただいています。

■Sift資料DL
チラシ:詐欺防止・機械学習プラットフォーム_Sift
事例カタログ:株式会社Loco Partners様、auコマース&ライフ株式会社様、株式会社 吉野家様
詳細はこちら1.2.png

■ホワイトペーパー
2020年度 国内企業のウェブサイトを狙う攻撃動向とソリューション
本書では、最近観測されているウェブサイトを標的とした攻撃手法や攻撃キャンペーンを紹介し、実際の事例を交えて解説します。

2020_webapp脅威レポート.png

1.はじめに
2.ボットによる不正ログイン
3.高度化するオンライン不正について ■新規コンテンツ■
4.サードパーティリソースへの依存の実態と、「Webスキミング攻撃」について ■更新コンテンツ■
5.近年のフィッシングの傾向と検知回避の動き
6.コンテナテクノロジーとセキュリティ ■新規コンテンツ■

詳細はこちら1.2.png

■オンデマンド動画
オンデマンド動画もご紹介しています。ぜひご視聴下さい。

1)オンライン不正対策Siftデモンストレーション
sift1.PNG
2)日本のクレジットカード、オンライン不正を取り巻く環境と、オンライン詐欺対策ソリューション「Sift」

sift2.PNG