2024年3月27日8:30
近年の不正被害拡大には、不正犯罪者におけるテクノロジーの進化が大きく起因している。Forterがグローバル展開する中で見えている国内外の不正トレンドについて解説。また、Forterの不正対策ソリューション(EMV3-Dセキュア活用、完全自動化など)を、事例を交えて紹介する。(2024年3月5日開催「ペイメント・セキュリティフォーラム2024」より)
Forter Pte Ltd カントリーマネージャー 野田 陽介氏
日本のクレジットカードの番号が
1枚あたり25ドルで売られている?
Forterはイスラエルで創業した会社で、日本には3年ほど前にオフィスを開設してビジネス展開をしております。現在、本社はアメリカにあり日本でも今、大変多くの引き合いをいただいているところです。
昨年(2023年)1年間の国内のクレジットカード不正利用被害額は、500億円を超える見込みです。振り返ってもう少しマクロ的に見ると、2020年が250億円ぐらいでした。つまりこの3年間で不正取引は倍増しているのです(年率約25%)。ECをはじめとする非対面取引はだいたい年率約10%ぐらいで成長していますが、不正の伸びのほうが、デジタル産業の伸びよりも遥かに大きくなっています。
何が起こっているのか?イスラエルにわれわれのサイバーセキュリティのチームがいて、世界中の不正犯罪者の動向を見ています。本日はそういった情報をもとに、世界の不正のトレンド、国内のトレンド、また、その対応策をご案内します。
その前に、ダークウェブでクレジットカード番号が売られているという実態を少しご紹介しようと思います。これは誰でも見られる公のブログが出所なのですが、裏取引されているクレジットカード番号1枚あたりの平均価格を国別で見ると、いちばん安いのがアメリカのクレジットカードで1枚あたり8ドル、日本のカードは高くて1枚あたり25ドルとなっています。日本のクレジットカードはそれだけ価値がある、ニーズがあるということです。ダークウェブでは、クレジットカード番号だけでなく、3-Dセキュアのパスワードや免許証、パスポートが普通に売られている状況です。
不正犯罪者はこういった情報を入手して、まるで会社員のように組織的に、日々不正取引を繰り返しているわけです。
グローバルなトレンドはAI
トラベル・チケット業界が不正のターゲットに
グローバルな不正トレンドとして浮上しているものの1つが、AIです。皆様、生成AI、Chat GPTについてはよくご存じだと思います。これについてメディアでは、生産性が向上する、今までできなかったことができるようになる、など良い面が多く語られています。一方、実はその裏側もあります。例えばFraud GPTと言うアプリはChat GPTとよく似ていますが、規制や制限がない危険なツールです。
公の場で説明しすぎるとよろしくないので、さわりだけにさせていただきますが、たとえばChat GPTで「ダークウェブへのアクセス方法を教えてください」と言うと、「教えられません」と出てきます。Google然り、Chat GPT然り、そういった規制はちゃんとかかっているわけです。一方でFraud GPTに同じ質問をすると、パッと答えが出てきます。たとえば巧妙なフィッシングメールの作り方や、クレマスアタックのボットの作り方。あらゆるツールが世の中には出回っていて、Fraud GPTに聞けばその方法を教えてくれます。
Fraud GPTのような、いわゆるChat GPTのイノベーションを悪い方向に利用するようなツールが続々と出てきているというのが、ここ1~2年のトレンドです。これが、私が見ている中で最も大きな犯罪者側の変化です。
もう1つグローバルなトレンドとして紹介しておきたいのが、特定の業界で不正アタックが急増していることです。それはトラベル・チケット業界です。
われわれはアイデンティティベースと言う独自の判定方法で不正者を特定し、フラグを立てています。われわれのトラベル・チケット加盟店に対する、これらの不正者からのアタック件数は、2022年4月から2023年10月までの間に、約4倍に増えました。トラベル・チケット業界はコロナ禍の影響を受けて、なかなかセキュリティへの投資ができなかったことを不正者は見抜いて、狙っているのではないかと思われます。
ボット攻撃、クレマスアタック、
海外からの不正アクセスが急増
国内の不正トレンドとして、3つのキーワードを挙げました。1つ目はボットによる攻撃です。われわれはグローバルでビジネスを展開しておりますが、取引をブロックした理由の内訳を国内と国外に分けて比較すると、国外では全体の2%にすぎないボットが、国内では18%と非常に多いことがわかります。ボット攻撃にはクレジットカード番号、IPアドレス、名前、住所などに共通点はなく、IPアドレスなどルールベースでブロックをかけても全部すり抜けてしまいますので、検知精度の高いツールを導入するなどして対策を講じる必要があります。
2つ目は、日本のクレジットカードを利用した海外からの攻撃の増加です。2022年1月から2023年12月までに起きた日本のクレジットカード会社の不正取引が、どこからの接続で行われたかを見ると、2022年前半はほとんどが日本国内からの接続だったものが、2023年には海外接続の割合が3倍ぐらいに増えて、半分近くを占めています。
2年前はほとんど国内に閉じていた。つまり、日本のクレジットカードで不正を働く人は国内にいた。でも今はそうではありません。インターネットの世界ではどんどん技術が進化し、言語のハードルも然り、いろいろなハードルが低くなっている。われわれもそのメリットを享受していますが、逆から見ると、犯罪者もそのメリットを享受しているのです。現に日本のクレジットカード番号はインターネット上で売られているわけですから、不正対策は国内に閉じず、世界でどんなことが起きているかに目を向けて進めていかなければいけないと感じているところです。
3つ目がクレマスアタックです。これについては私どももよくご相談を受けます。これは1つ目のボット攻撃とも関連しています。デバイスの中身を改造して偽装しているような場合でも、われわれは検知することが可能です。
繰り返しになりますが、テクノロジーの進化は、諸刃の剣だと強く感じています。犯罪者もそのメリットを享受している。かつ、今までやっていなかった人もやれるようになっているという面もあると思います。裾野が広がってしまっているというか。こういった状況の中で、これまでの対策では近い将来限界が来るのではないかと感じています。
■問い合わせ先
Forter Pte Ltd
https://www.forter.com/ja/contact-us/