マクニカ
Webセキュリティ 2021.05.19

被害急増!ECサイトを狙うサイバー犯罪者の巧妙な手口

新型コロナウイルスの感染拡大により、ECサイトを利用する消費者が増加しています。一方で、ECサイトを狙うサイバー犯罪者の活動も活発になっており、その手口も多様化しています。特に、売上向上や不正利用対策としてECサイトが取り入れる新たな技術やマーケティングツールが悪用される傾向にあります。犯罪者は、一度目を付けたECサイトを徹底的にマークし、不正を仕掛けてきます。本記事では、不正被害を受ける前に、今こそ知っておきたい犯罪手口を解説します。

1.不正利用対策技術を悪用したアカウント乗っ取りが増加中

サイバー犯罪者による不正利用を困難にするために、さまざまな技術や手法が利用されています。ところが最近では、サイバー犯罪者達もまた、これらの技術や手法を悪用しているということがわかっています。顧客との契約など、情報の共有に制約がある一般企業やホワイトハッカーなど、不正利用防止側の立場と異なり、彼らは既存のルールや倫理観に縛られません。ひとたび悪用が可能なことがわかれば、その知識は犯罪者のコミュニティで共有され、より洗練された手口が開発されます。

ダークウェブで大量のデータが流通することにより、サイバー犯罪者はデバイス固有の属性や機械学習技術などの、詐欺対策の手法を取り入れたツールを活用しています。これが、近年のアカウント乗っ取り急増の原因です。

被害急増!ECサイトを狙うサイバー犯罪者1.JPG

では実際に、どのような手口が使われているのでしょうか。主なものを挙げてみます。

デバイスIDの偽装

デバイスIDは、スマートフォンなどのデバイスに割り当てられた固有の識別子です。 不正利用防止技術は、デバイスIDやその他の固有の属性を使って、正規のユーザと疑わしいユーザを判別します。

ところが、ダークウェブでは、過去に不正利用されたことのない、ホワイトなデバイスIDが販売されています。クレジットカード番号やパスワードとホワイトなデバイスIDがセットになったリストが販売されていることもあり、そうしたリストを用いた不正は発覚しにくくなると言われています。

また、AppleやGoogleは、ユーザのプライバシー保護のため、個人のふるまいを追跡しにくくなるような設定をスマートフォンに導入し始めています。サイバー犯罪者など不正利用を目的としたユーザがそうした設定を悪用すると、一般のユーザと区別することがますます難しくなることが考えられます。

機械学習の悪用

企業は不正利用に対抗するために機械学習技術を利用し始めていますが、サイバー犯罪者もまた機械学習を悪用しています。その一つが、フィッシングメールのカスタマイズツールです。一般に公開されているデータや市場動向などから被害者に合わせたフィッシングメールの文面を作成したり、騙されやすい従業員を特定するのに機械学習が利用されていると言われています。

機械学習が悪用されているもう一つの例が、マルウェアの改修です。マルウェア検知ツールにも機械学習は活用されています。しかしサイバー犯罪者はそのツールをリバースエンジニアリングすることで、検知ツールがチェックしているポイントを解明し、自らのマルウェアを効率的に進化させています。

SOCKS 5を経由した匿名プロキシによる情報の隠ぺい

SOCKS 5は、プロキシサーバを介してサーバ・クライアント間のパケットをルーティングするためのインターネットプロトコルです。サイバー犯罪者は、SOCKS 5を経由してアクセスできる匿名プロキシサーバを利用した情報源の隠ぺいをしばしば行っていることが知られています。匿名プロキシサーバを利用することにより、実際のIPアドレス、物理的な住所、デバイスIDなどを隠すことができます。

Cookieの悪用

ECサイトでは、利用者がサイトにアクセスした際の情報を追跡するためにCookieを使用しています。不正利用検知システムは、このCookieを「リピーターが突然請求先住所を変更した」などの疑わしいふるまいを検知するためのツールとして使用しています。ところがこのCookieを悪用するサイバー犯罪者も存在します。

クレジットカード情報を盗んだ犯人は、ECサイトにアクセスし、カートに商品を入れたまま数時間放置します。こうしてCookieを「熟成」することで、不正利用のフラグを立てられることなく、他人のクレジットカード情報を不正利用することが可能になります。

個人情報の悪用

ECサイトのユーザ認証にはパスワードや「秘密の質問」など本人しか知らない情報が利用されています。しかし、生年月日や「秘密の質問」によく使われる母親の旧姓や卒業した小学校の名前などの情報は、SNSで容易に入手が可能です。これらの情報を使って本人になりすまし、アカウントを乗っ取ることが可能になります。

2.より巧妙化する不正コンテンツ

多くのECサイトでは、レビューやSNSのハッシュタグを利用したユーザ生成コンテンツ(UGC)を活用しています。不正コンテンツとは、サイバー犯罪者が偽のUGCや悪意あるUGCを作成したり共有したりするものです。スパム、偽のリスティング広告、虚偽のレビュー、あるいは競合製品に対する中傷など、不正コンテンツには様々な形態があり、ターゲットも多岐にわたります。また、不正コンテンツは、サイバー犯罪者によるものとは限りません。Amazonのようなサイトで、出店者が有償で偽のレビューを書かせるのも不正コンテンツの一つです。

不正コンテンツが増える理由は、UGCが消費者の購買行動に与える影響の大きさにあります。

被害急増!ECサイトを狙うサイバー犯罪者2.JPG

不正コンテンツに対して脆弱なサイトには、サイバー犯罪者など不正利用を目的としたユーザが集まり、ますます不正コンテンツがまん延することになります。その一方、一般のユーザはサイトに対する信頼をなくし、そのサイトを利用することをやめてしまいます。不正コンテンツの対策をせず放置することは、ビジネス上大きな損失につながる恐れがあります。

不正コンテンツの作成のために、サイバー犯罪者などを含む不正利用を目的としたユーザは、偽アカウントの作成、一般ユーザのアカウント乗っ取り、スクリプトを使ったボット攻撃など様々な手法を駆使しています。その結果、従来取られてきた以下のような対策には効果がなくなりつつあります。

不適切な言葉や画像の禁止

ヘイトスピーチや詐欺につながるような特定の言葉や画像の掲載を禁止したとしても、サイバー犯罪者は、隠語や絵文字などを使用することでその制限を回避します。あるいは、サイトの管理者に分からないような言語を用いることもあります。

新規アカウントのモニタリングや機能制限

「捨てアカウント」と呼ばれる新規作成したアカウントを利用して不正コンテンツの作成を行うケースは以前から存在していました。そのため、新規ユーザに対するモニタリングや機能制限を行うことで不正防止を行うことが多くなっています。しかしより巧妙なサイバー犯罪者は、新規に作成したアカウントで一定期間無害なコンテンツを投稿し、その後に攻撃を仕掛けることで、この制約を回避していると言われています。

有害なコンテンツの禁止

UGCを利用する多くのサイトは、サイト内での不正コンテンツを禁止するポリシーを持っています。サイバー犯罪者は、サイト内のコンテンツに紛れ込ませた一見無害なURLをクリックさせることで、サイト外にある不正コンテンツにユーザを誘導します。

ユーザのアカウント停止措置

サイバー犯罪者の中には、機械学習を利用して、ボットによる大規模な不正コンテンツ作成を行っているケースがあります。Google Mapのようなサイトでも、ボットが自動生成した偽の評価やレビューがあふれていると言われています。

3.「今すぐ購入」ボタンに潜む罠

Amazonのワンクリック注文は、消費者の購入体験を大きく変えました。最初にクレジットカード情報と配送先住所を入力しておけば、その後はいつでもクリック1回で注文が完了することに慣れた消費者は、決済完了までに何度も本人確認が必要なサイトで買い物をしたいとは思いません。

被害急増!ECサイトを狙うサイバー犯罪者3.JPG

多くのECサイトでは、ワンクリック注文を実現するために、Amazon Pay、PayPal、Apple Pay、Google Payなど、外部で提供される決済機能を利用しています。

また、VisaとMastercardは、Visa CheckoutとMasterpassのボタンを「ユニバーサル購入ボタン」として統合することを計画しています。American ExpressやDiscoverも参加を予定しており、実現すれば「世界共通の購入ボタン」になるでしょう。

しかし不正利用防止の観点では、アカウント登録のために入力する情報や決済に関わる情報をサイト運営者側が利用できないワンクリック注文にはリスクが増えると考えられます。それらはサイバー犯罪者による不正な利用を判別するために有用な情報です。また、これらの外部決済サービスに不正なクレジットカードが登録されていた場合、サイト運営者がそれを見分けることは困難です。そのため、結果として不正な決済が行われることになります。

多くの企業で、ワンクリック注文のような新しい決済方法の導入はマーケティング部門主導で行われます。安全性や信頼性よりもマーケティング上の判断が優先された結果、サイトは脆弱性を抱えることになるでしょう。顧客体験はもちろん重要ですが、安全性とのバランスを考慮する必要があります。

4.機械学習による不正防止ソリューションの有効性

ECサイトを狙うサイバー犯罪者の最近の手口について見てきました。新たな技術や手口を取り入れ進化する手法にリアルタイムに対応するためには、対策もまたリアルタイムに進化しなくてはいけないと考えます。

機械学習による不正利用防止ソリューションは、継続的な学習により、新たな手口によるアカウント乗っ取りをいち早く発見することが可能です。対策をかいくぐって作成される不正コンテンツの迅速な発見と削除も可能になります。ワンクリック注文のような、外部サービスを利用して顧客体験を向上させるソリューションに対しては、ECサイト内でのふるまいを元にユーザの信頼度を判定し、信頼できる利用者にのみ許可することで、顧客体験と安全性を両立することができると考えられます。

サイバー犯罪者による不正利用被害は、チャージバックなどによる直接的な損害にとどまらず、消費者の信頼も失い、ビジネスの大きな損失につながります。不正利用防止ソリューションへの投資は、ビジネスを継続し収益を向上させるために必須といえます。

▼不正利用防止ソリューションの事例はこちら

売れるEC・通販の不正防止対策とは?6.JPG

売れるEC・通販の不正防止対策とは?7.JPG

吉野家様.png

▼オンデマンド動画はこちら
売れるEC・通販の不正防止対策とは?8.png

売れるEC・通販の不正防止対策とは?9.png

メルマガ登録バナー(セキュリティ).jpg

RSSで購読する
ランキング
カテゴリ
タグ
月別アーカイブ