自社サービスの不正利用からユーザーとブランドを守るには
本記事のサマリ
フィッシング被害が増え続けている今、犯罪者による自社サービスの不正利用から正規ユーザーとブランドをどのように守っていけばよいのでしょうか。本記事では、フィッシング犯罪の傾向や不正利用対策について見ていきながら、自社のサービスを騙られた企業がとるべき対策のフレームワークをご紹介します。
3行でわかる本記事のサマリ
- フィッシング詐欺では、SMSやメールを通じてユーザーが偽サイトに誘導され、個人情報が盗まれる。
- 犯罪エコシステムの理解と考察を深めることで、犯罪の全体像に沿った対策が可能に。
- Yahoo!ショッピングを運営するヤフーではリアルタイムな不正検知システムを活用し、専門の監視チームが運用。
目次
- 不正利用の実態
- 対策のフレームワーク
- ヤフーの例に見る不正利用対策
- 不正利用対策に効果的なテクノロジー
- 自社名/サービスを騙られた時、企業が対応すべき事
※本記事の内容は動画でご覧いただけます
不正利用の実態
まず、フィッシング詐欺による不正利用の流れについてECサイトを代表例として振り返っておきましょう。よくあるのは、スマートフォンのSMSに正規サービスを装ったショートメッセージが届き、そのなかにあるURLをタップすることで偽サイトに誘導され、IDやパスワードを入力することで犯罪者に情報が盗まれてしまいます。そして、本人に成りすました犯罪者が本物のサイトで商品を購入することで、金銭的な被害に遭うというのが一連の流れとなっています。
次に、フィッシングによって正規ユーザーのログイン情報を搾取したあと、犯罪者はどのように不正利用を行っているかを説明していきます。
犯罪者は本人になりすまして正規サイトで買い物をすると、代金は本人(フィッシング被害者)に請求されます。商品は本人宅ではなく犯罪者が指定した拠点に届くよう設定します。ショップから商品が発送されると受け子と呼ばれる別のメンバーが商品を受け取って転売する、もしくは別の場所に転送したあとに受け子が受け取って転売するという流れです。
対策のフレームワーク
フィッシングによる被害を撲滅するためには、犯罪エコシステムの理解と考察を深めることで、犯罪の全体像に沿った対策が可能になります。これまでフィッシング対策の中心は、フィッシングサイトの早期発見とテイクダウン(または、アクセスブロックによる事実上の無害化)でした。今後もこれらは有効ですが、さらに犯罪の上流・下流の対策も組み合わせ、一連の犯罪行為のチェーンを断ち切ることが肝要です。
対策を考えるにあたり、フィッシングの流れに沿ったフレームワークを定義します。
上の図は左から右に向かって犯罪の順序を表しています。それぞれの対策は企業ごとで実施するものもあれば、SMSを配信する事業者やECサイト、宅配業者それぞれが連携するなど、業界を通じた横の連携も重要になってきます。本記事では、「不正利用対策」の部分を詳しく掘り下げていきます。
ヤフーの例に見る不正利用対策
本記事では、ヤフーが実際に行っているクレジットカードの不正利用対策を紹介します。
Yahoo!ショッピングを運営するヤフーでは、2019年をピークに不正利用被害額が減少傾向にあり、未然に防いだ額も大きなものとなっています。またヤフオク!やPayPayフリマにおいても、カード不正利用状況は2019年をピークに減少傾向にあります。2019年以降不正利用を減少させた一番の要因の1つは、不正検知システムを導入したことです。
システム自体はヤフー独自開発のシステムを基盤としており、リアルタイムに不正判定が行われています。全ての決済トランザクションがこの不正検知システムを通過し、不正なのか、問題ないか、不正の懸念がないかという判断をリアルタイムに行うというものです。不正の懸念がある場合は、ストア側に商品の発送保留の依頼を行い、カード会社に照会したうえで、問題なければ発送するようなフローとなっています。なお、カード会社への照会は、属性照会と本人利用確認という2つが行われます。属性に関しては、注文時の配送先情報を照会するもので、その情報とカード会員情報が一致しているかどうかを確認するプロセスです。(Yahoo!ショッピングでは2022年8月17日より、不正懸念ありと判定した一部の取引にEMV3Dセキュアを導入しています)
基本はルールベース判定で、機械学習モデルも採用しています。ルール作りは独自のWebツールで管理しています。そして不正が発生すれば、それに対応したルールを即座に作成し、検知・防止できる運用ですが、場合によっては、機会学習による予測モデルを活用して先回りしてルールを事前に設定するといった活動も行っています。また人的な体制として、専門の審査チームによるチェックも行っており、24時間365日の監視体制で不正利用の監視が徹底されています。
不正利用対策に効果的なテクノロジー
ヤフーは独自のシステムで運用していますが、全て環境を自前で用意できる企業ばかりではありません。不正利用対策に効果的な企業向けの対策ツールとしては、以下のようなものがあります。
- Splunk:トランザクションや各種ログの統合的な集約・分析・判定・可視化
- RiskIQ:自社や関連企業のWebサイトを洗い出し、発見した偽サイトのサーバー証明書やIPアドレスなどの情報を収集、可視化
- Sift:不審なユーザーの振る舞いを検知、なりすまし利用や不正決済を防止
自社名/サービスを騙られた時、企業が対応すべき事
そもそも、自社名や自社サービスを騙られてしまっていることに気づくにはどのようにすればいいのでしょうか。実際のところ、偽サイトを発見したユーザーが企業に問い合わせすることで気が付くパターンが多く、問い合わせが増えてきた段階でフィッシング対策協議会などに相談するケースもあります。
①社内体制を整備する
まずは社内での体制を整備していくことが大切です。自社が運営するECサイトの規模が大きくなれば、専用部署を設置する体制を持つことも可能ですが、一般的には顧客対応の窓口が中心となり、その都度対応せざるを得ないでしょう。その際に、普段から窓口となる部署と社内のセキュリティを担当する部署は緊密に連携しておくことが欠かせません。
②注意喚起
さらに重要になってくるのが、ユーザーに対する注意喚起です。不正利用において一番の被害者はユーザーであり、ユーザーに対してきちんとした情報発信を迅速に行うことは、企業における責任として考えておく必要があります。
フィッシング被害が発生した際は、正しい情報が迅速・正確・安全にユーザーへ伝わることが重要ですが、そのためには誤った伝え方を反面教師として学ぶことも重要です。
例えば、ユーザーに対して"URLが正しいかどうかを確認してください"というメッセージは避けるべきです。犯罪者は正しいと思わせるようなURLを駆使するため、ユーザー側でURLが正しいかどうかを判断するのは正直に困難を極めます。
また、メールアドレスや送信元が正しいかどうか確認して欲しいというメッセージも避けた方が良いでしょう。メールアドレスや送信元は簡単に偽装できてしまうため、ユーザー側で正しいかどうかは判断できないためです。
さらに正しいドメインから始めるURLであれば安心だというメッセージも避けるべきで、実例では途中まで正規ドメインと同じものが利用されている偽サイトのURLも存在しています。ドメインだけを見て判断することを促すことも避けましょう。
そして、偽サイトとなるフィッシングサイトのURLはそのまま載せるべきではありません。そのまま文字として載せてしまうとアクセスして二次被害を誘発してしまう恐れがあるためです。掲載する場合は、文字を変えて無害化した状態のものや画像などを使って注意喚起を行いましょう。
上記の点からも分かる通り、ユーザーにフィッシングサイトかどうかを見分けることは難しいという大前提に立って注意喚起を行うことが大切です。
なお、注意喚起するときに、その発信力も重要です。企業のHPやSNSで発信していくことはもちろんですが、フィッシング対策協議会が行っている緊急情報通知などを利用すれば、多くのメディアが取り上げてくれるケースも出てきます。外部の仕組みもうまく活用してみることが有効です。
\本記事の内容を、動画でご視聴いただけます/
登録後すぐにご視聴可能
