2023年3月29日8:30
オンライン不正被害は増加の一途を辿り、詐欺の手法も巧妙さを増している。不正被害から顧客とビジネスを守るために必要なことは、オンラインでアクセスしてくるユーザーが正規のユーザーであるか、あるいは不正を働こうとする者かを正確に素早く判断することだ。オンラインユーザーを知るための最新のテクノロジと、その事例を紹介する。(2023年3月7日開催「ペイメントカード・セキュリティフォーラム2023」より)
LexisNexis® Risk Solutions ビジネスデベロップメントディレクター 雨宮 吉秀氏
被害額は英で2,000億円、米で3,000億円
アカウント作成の12件に1件が不正アタック
LexisNexis® Risk Solutionsの親会社はRELXグループという、いろいろな事業を展開するコングロマリットのような会社です。たとえばELSEVIER(エルゼビア)という医療関係の科学雑誌を発行している会社、展示会を企画・開催するRXという会社、LexisNexis®リーガル&プロフェッショナルという法務関係のデータを扱っている会社、そしてわれわれのLexisNexis® Risk Solutionsという会社が1つのグループを形成しています。グループ全体の従業員数は3万3,000人です。
その中で弊社は、リスクを管理し、ビジネス機会を模索する会社にソリューションを提供するというミッションを掲げています。弊社が保有しているデータは、医療や保険に関連するものだったり、あるいは政府関係にさまざまなデータを提供していたり、あるいはグループ会社では航空機の情報を持っていたりします。保有しているデータは総計12ペタバイトに及びます。そういった膨大なデータを集めて、皆様が使いやすいように加工して提供しています。
データは保有しているだけでは意味がないので、どう分析するかというところで、ビッグデータ技術を提供しています。ハイパフォーマンスコンピューティングのHPCCで、1時間あたり2億7,000万件のトランザクションを高速処理することを可能にしています。また、ビッグデータをどうやって関連づけていくのか、それぞれのデータがどういう関連になっているのかということをリンケージしていく技術を使って、さまざまなソリューションを提供しています。3DS(3Dセキュア)に使われているリスクベース認証にも、弊社のソリューションLexisNexis® ThreatMetrix®(スレットメトリックス)が採用されています。
弊社が公表している2022年の調査レポートの結果から、いくつか不正トレンドに関するデータをご紹介します。日本で不正が増えているという話は日々聞いていると思いますが、英国や米国でも大きな被害が出ていて、英国では2021年にオンライン詐欺師に約2,000億円が騙し取られました。米国では2021年に消費者が報告した不正被害のうち、約3,100億円がなりすまし詐欺によるものでした。日本では2021年のクレジットカード不正利用被害額が330億円ぐらいでした。対象範囲がまったく同じではないと思いますが、英米ではこれと比較しても不正が非常に多いという印象があります。
そういったところで不正対策がどんどん進んでいて、われわれの技術はそこで磨かれているわけです。しかしそれにさらに対抗する新しい不正のやり方もどんどん出てくるという状況です。調査したところ、83%の企業がデータ侵害を経験したことがあり、データ侵害に対処するためのコストは相当な額に上っていることがわかっています。また弊社のソリューションを使っているお客様の例では、新規アカウント作成の12件に1件が不正アタック、モバイルアプリのログインの際の攻撃率が前年比211%の増加、パスワードのリセットの20件に1件は不正アタックだという調査結果があります。
オンライン詐欺に遭うのは高齢者が多いと考えがちですが、実は被害件数は、20代が70代の倍だという結果が出ています。もちろんこれには、デジタルに触れる機会が20代のほうが多いということもあるかもしれませんが、若いから安心とは一概にはいえないということです。
複雑化・巧妙化する不正利用犯罪の手口
被害を防ぐには追加の手法の導入が必須
ECサイトでは、不正利用に対し、これまでどのような対策をとってきたのでしょうか。サイト運営者が知り得る情報は、限定的です。ユーザーIDやパスワードや、その場で入力される情報はあまり役に立たない。ほかにはIPアドレスや、ブラウザの種類、バーション、せいぜいそれに加えてHTTPヘッダに含まれている情報ぐらいしかありません。これだけで、信頼できるユーザーなのかサイバー犯罪者なのかを見極めるのは非常に難しいといえます。
ですから、3DSのような仕組みを使って、追加の情報をとっていこうということです。たとえば弊社が提供しているリスクベース認証のソリューション、LexisNexis® ThreatMetrix®(レクシス・ネクシス・スレットメトリックス)を用いている場合、サーバーにEC企業のバックエンドサーバーを通った購入者および購入商品情報が送られてくるのと並行して、JavaScriptあるいはアプリ向けにSDKが提供されていて、ここから通常では取れないデータを収集することができます。どういう人であるか、どういうデバイスであるか、どこから発信されているのか、あるいは、乗っ取られていないかとか。そういったデータを不正の発見に使っています。これが今現在の、最新のやり方だと思います。
ただ最近の英国あるいは米国の被害状況を見ると、この仕組みを乗り越えることも試みられているようです。詐欺の手口の変化を見ると、最初はサードパーティ詐欺がほとんどでした。第三者が勝手に自分のアカウントに入って悪いことをする。銀行から送金する、ECで買い物をする。この段階では、発信元の国が違う、使っているデバイスが違うといったことで、不正を見分けることができました。次には偽サイトを使ってフィッシングを行うことで、プルデンシャル情報をあらかじめ手に入れてしまう。これによってログインに失敗するケースが減るし、3DSのパスワードも破られてしまう。パスワード込みで盗まれてしまうということです。これについては先ほど紹介した弊社のソリューションなどで、海外からのアクセスだとか、いつもと違うデバイスからのアクセスだといった情報を得て詐欺かどうかを見極めていくことになります。
もっと新しいやり方として、オーソライズド・プッシュ・ペイメントというものがあります。フィッシング詐欺防止策として、スマホにプッシュ通知で「今お金を借りましたか」「送金しましたか」と知らせる手法があります。これは特定のアプリに対して登録されているデバイス宛てにやって来るので、セキュアな方法だといわれているのですが、それを乗り越えようとする詐欺が増えてきているのです。どうするかというと、本人に電話をして実際に話をして、なんらかの理由付けをしながら「このボタンを押してください」と行動を促すのです。その結果、本人が操作するわけで、今までの手法とはまったく性格が異なっています。こういう詐欺にどう立ち向かっていけばいいのか。非常に難しいと思います。このタイプの詐欺はまだ日本ではあまり聞きませんが、英国では非常に多くて、リモートアクセス詐欺被害者の60%は、通話中に詐欺に遭っています。
この対応策として、1日10件、追加でアラートを上げることによって、不正検出件数が170%向上。また、決済件数中0.14%にステップアップ認証をかけることで、詐欺被害額が38%削減するということが明らかになっています。ただ、ここまでのソリューションを導入するかどうかは、コストとの兼ね合いで決定することになるでしょう。
ここで強調しておきたいのは、従来型の手法だけでは、詐欺を防ぐのは難しくなっているということです。詐欺と正しい取引を正しく見分けるために、追加の手法が必要になってくる。たくさんの情報を取り、分析して、傾向を把握する必要があります。
年間960億のトランザクションデータをもとに
デジタルIDを付与して人の動きやつながりを把握
そこで今日は2つのことをお話ししたいと思います。ひとつはデジタルID、もうひとつは行動バイオメトリックスです。
まず、デジタルIDについでです。弊社のソリューションでは、1つ1つのデバイスにIDを振るということをやります。同じデバイスがもう一度来たら、わかるようにしておくわけです。デジタルIDというのは、それに加えて、人にIDを振って管理しようということです。皆様も1日の中で、複数のデバイスを使って、複数のサイトにアクセスしていると思います。朝起きたら自宅のパソコンでメールチェックをする。通勤途中、スマホで会社に来たメールを読んでおく。会社に着いたら、会社のパソコンで仕事をする。ひとりの人が、複数のデバイスから、複数のアカウントを使って、複数のサイトにアクセスするという流れはクロスしてつながっている。こういった状況をまとめて、人に対してIDを振って管理していく。それによって誰がどこに現れたかを見ていきましょうという考え方が、デジタルIDです。
デジタルIDには、名前、電話番号、eメールアドレス、住所などの属性情報や、クレジットカード番号、WindowsだったりiOSだったりAndroidだったりというPCやスマホのデバイス情報などが不随しています。さらに、IPアドレス、どんなプロキシやISPが入っているのか、VPN経由か、TORは使っているかという通信ネットワークの情報。それから、リンク情報。そのデバイスには、ほかからどういうアクセスがあるか、ほかのサイトとどういうつながりを持っているか、あるいは、どういう評判があるか、過去に不正を行ったことがあるか。たとえば、自社サイトを初めて訪れたあるデジタルIDは、その前の1時間にほかのサイトを1,000回訪れていたとか。そういった関連性を把握して、分析に使おうという考え方です。
このデジタルIDを実装したソリューションが、弊社のLexID® Digitalです。デジタルIDを定義して、それがどれくらい正しいと判断されているか、どんな評判があるか、どれくらい信頼されているかを見ます。このデジタルIDは世界中のネットワークの中で正しい取引をずっと続けていたから信頼してもいいだろう、というような評価をして、スコアを付けて、提供する仕組みです。
これが実際にどう使われているかというと、典型的なのは、1つのデジタルIDに、クレジットカード番号が100個紐づいているというような例。おそらくカード番号を盗用しているのだろうという推測が成り立ちます。また、たとえば1つの電話番号が100のデジタルIDに紐づいていたら、組織的な犯罪ではないかということがわかってくるわけです。
ツール上では状況が図で可視化されます。ソリューションを採用していただいているお客様のローカルビューでは、あるデジタルIDは1つのメールアドレス、1つのデバイス、1つのログインID、1つの住所が紐づいた至って普通の人だとしても、グローバルビューで見ると、数十個のアカウントアドレスが結び付いていることがわかったりします。要するに、あちこちにシッピングアドレスを持っていて、そこで何らかの動作をした形跡がある。そうであれば取引はやめておいたほうがいいだろうという判断ができるわけです。
LexID®は、Digital Identity Networkプラットフォームのデータを使用し、デジタルIDを作成します。LexisNexis® Digital Identity Network®(デジタル・アイデンティティ・ネットワーク)には90億のアクティブデバイスの情報があります。世界の人口が80億人ぐらいですから、1人が複数のデバイスを持っているとしても、かなりのカバー率だと言っていいのではないかと思います。また、20億の電話番号、25億のデジタルID、35億のeメールアドレス、20億のIPアドレスがあります。これらから、年間960億のトランザクションが入ってきています。1日2億以上ですね。これは昨年のデータなので今は3億を超えているかもしれません。膨大なデータが集まってきて、弊社のサービスを使っている世界中のお客様が、今どのようなことが起こっているのかを参照することができます。ISO 3166で定義されている国と地域の数は249あるのですが、デジタル・アイデンティティ・ネットワークはそのうち244をカバーしています。カバーしていないのは、南極海にあるノルウェー領のブーベ島、西サハラの係争地、オーストラリア領ハード島とマクドナルド諸島、フランス領南方・南極地域と、スヴァールバル諸島およびヤンマイエン島だけ。事実上、世界中をカバーするネットワークとなっています。
■お問い合わせ先
LexisNexis® Risk Solutions
〒106-0044 東京都港区東麻布1-9-15
東麻布1 丁目ビル3 階
ウェブサイトよりお気軽にお問い合わせください。
URL: https://bit.ly/risk-lexisnexis-co-jp-products-threatmetrix
LexisNexis、LexID、Knowledge Burstロゴは、RELX Inc.の登録商標です。 ThreatMetrix、Digital Identity Networkは、ThreatMetrix, Inc.の登録商標です。HPCC Systemsは、LexisNexis Risk Data Management Inc.の登録商標です。 Copyright © 2023 LexisNexis Risk Solutions.