オンライン不正対策を検討する際に、必ず押さえておきたい4つのポイントとは?(後編:対策編)
はじめに
新型コロナウィルスの拡大に伴い新しい生活様式が広がりました。例えば消費者では、なるべく人と人との接触を避けるためオンラインでの商品の購入や、キャッシュレス決済の利用機会が増えています。また事業者では、売上の維持のため、ECの活用により力を入れるような企業も増えています。
一方で、世間を大きく騒がせるようなオンライン不正も多く発生しています。例えば、
・EC事業者におけるクレジットカードの不正利用によるチャージバック
・リスト型攻撃等でのアカウント乗っ取り並びにアカウント不正利用
・キャッシュレス決済事業者の銀行口座連携機能を利用した不正送金
等が挙げられます。
よりデジタルを活用したビジネスを拡大していきたい反面、こういった事件がきっかけで利用者の信頼を失い、サービス停止に追い込まれた事業者もいます。また攻撃者の特性を十分に理解せず、やみくもに本人確認や認証強化を行うことで利便性が損なわれ、利用者が離れていってしまうケースも考えられます。
本ブログでは連載形式で2回に分け、オンライン不正の現状について解説するとともに、今後のビジネスの拡大のために講ずるべきオンライン不正対策とは何か?について下記4つのポイントから述べていきたいと思います。
<前編:現状把握編>
1:高度化するオンライン不正の現状
2:常に変化し続ける攻撃パターン
<後編:対策編(※本ブログとなります)>
3:セキュリティとユーザ利便性のバランスの難しさ
4:今後考えるべきオンライン不正対策
ポイント3:セキュリティとユーザ利便性のバランスの難しさ
事業者がセキュリティを高める場合、それぞれのフェーズで以下のような対策が多く利用されています。
<新規アカウント作成時>
・本人確認の強化
- メールアドレスだけで登録できるのではなく、SMS認証や運転免許証等での本人確認を実施
- 必要書類の記入を郵送で実施
・パスワードの強化
- 様々な英数字/記号を組み合わせて必要とする文字数を多くする
<ログイン時>
・監視の強化
- 不審な送信元IPからのアクセスの排除
- ログイン試行回数や頻度をもとにしたルールベースでの検知システムの構築
・認証の強化
- ワンタイムパスワードや生体認証の利用
- 特定の端末からのみのアクセスの許可
- CAPCHA認証を利用
<会員情報の書き換え時(クレジットカード情報/銀行口座の登録等)>
・認証の強化
- ワンタイムパスワードの利用
- 銀行口座情報に紐づく電話番号による本人認証
- 特定の端末からのみのアクセスを許可
<商品購入時>
・国外からの購入の制限
- 国外への配送の場合は全て拒否
- 海外のクレジットカード情報での購入を遮断
・認証の強化
- クレジットカードのセキュリティコードを利用
- 3Dセキュアの利用
一方でガチガチに固めているセキュリティは利用者の利便性を著しく損ねることにつながります。ユーザ離れを引き起こしたり、かご落ち(※カートに入れて最終的に決済までに到達しない場合)するケースが増えると考えられます。加えて、セキュリティの水準を維持するために莫大な人件費やシステムコストがかかると、利益率が下がってしまう懸念もあります。
ポイント4:今後考えるべきオンライン不正対策とは?
理想的な状態は、以下だといえます。
・正規ユーザについては、最高のオンライン体験を
・不正利用者については、怪しいと判断されたタイミングで即時ブロック
・良いか悪いかの判断に迷うユーザ(※グレーなユーザ)については、追加の認証を実施
では、良し悪しの区別をどのように行うべきでしょうか。悪いと思われるユーザの特徴が決まっていれば、検知のためのルールを使ってシステム上で止められるかもしれません。しかし、前編「■ポイント2:常に変化し続ける攻撃パターン」で述べたように、不正利用者の属性や行動パターンはコロコロ変わります。より正規ユーザと似た入力情報で不正を試みるため、攻撃の傾向が変わる度に、都度人手を使って検知ルールを更新するのは大変な困難を極めるといえます。
一部の進んだEC事業者では、ログイン時や決済時の情報から独自の検知ロジックを用いてリスク判定を行っている場合もあります。検知ロジックとして、メールアドレス等の個人属性情報や決済情報、IPアドレスの情報を組み合わせて定義しておくようなアプローチとなります。手動で重み付け行うだけでなく、最近は機械学習でリスクの重みづけの度合いを決定するようなサービスも多くなってきています。
多くのソリューションでは、ユーザの「サイトでのふるまいのある特定の場面(例:ログイン時や商品購入時)」にフォーカスして検知を行います。さらに一歩踏み込み、「ユーザのふるまい全体についても特徴として捉えらえる」と、より精度高く良し悪しの判定が可能になります。
また単純に一つのアカウント情報におけるふるまいを監視するだけでなく、ある特定の特徴量から他のユーザとの相関分析を行い、リスク判定するのも理想と考えられます。それぞれのアカウント情報に紐づくユーザをもとにスコアの計算を行うことで、より精度高く不正を発見できると考えられます。
まとめると以下の要件が、今後検討すべきオンライン不正対策のソリューションとなるかと思います。
・機械学習でリスクの重み付けを自動でリアルタイムに最適化
・特定の場面で入力した情報だけでなく、ログインからログアウトまでのサイト全体の行動特性を把握
・各ユーザの特徴量から他の類似アカウントとの相関分析の結果をリスクの重み付けに活用
リスクをあらゆる場面で可視化することで怪しいタイミングで即時対応することが可能となります。またスコアに加えて、自社で持っている検知ルールも組み合わせて対応することで、より精度高く対応できると考えられます。ECサイトの構成に応じて、スコア判定するタイミングを考えていき、いかに対応するかを考えるのも有効です。
さいごに
後編では、話題のオンライン不正に対して多く行われている対策や、今後考えていくべき対策について述べました。
前編は以下のURLにて公開しておりますので、併せてご覧ください。
今後のオンラインでのビジネスの重要性については言うまでもありません。そして、ビジネスの成長を止めないセキュリティ対策についても同時に考えていくべきだと思います。デジタルトランスフォーメーションが話題となっています。同時にオンライン不正に対応するためのセキュリティの意識の変革(セキュリティトランスフォーメーション)も考えていくべきではないでしょうか。
マクニカネットワークスでは、最先端のテクノロジーを活用したオンライン不正対策の導入を支援させていただいています。資料請求をご希望な場合は、以下からお問い合わせください。
■Sift資料DL
チラシ:詐欺防止・機械学習プラットフォーム_Sift
事例カタログ:株式会社Loco Partners様、auコマース&ライフ株式会社様、株式会社 吉野家様
■ホワイトペーパー
2020年度 国内企業のウェブサイトを狙う攻撃動向とソリューション
本書では、最近観測されているウェブサイトを標的とした攻撃手法や攻撃キャンペーンを紹介し、実際の事例を交えて解説します。
1.はじめに
2.ボットによる不正ログイン
3.高度化するオンライン不正について ■新規コンテンツ■
4.サードパーティリソースへの依存の実態と、「Webスキミング攻撃」について ■更新コンテンツ■
5.近年のフィッシングの傾向と検知回避の動き
6.コンテナテクノロジーとセキュリティ ■新規コンテンツ■
■オンデマンド動画
オンデマンド動画もご紹介しています。ぜひご視聴下さい。
