サービスとしてのバンキング (BaaS)

サインイン 

アカウントの乗っ取りによる不正利用の解説: その概要とビジネスでの防止策

  1. はじめに
  2. アカウントの乗っ取り (ATO) による不正利用の概要
  3. アカウントの乗っ取りによる不正利用のタイプ
  4. アカウントの乗っ取りによる不正利用がビジネスに害を及ぼす手法
  5. アカウントの乗っ取りによる不正利用を検知して防ぐ方法
  6. Stripe の使用を開始する 

不正利用は、ビジネスオーナーにとって大きな課題です。需要の高い製品を提供したり、ロイヤルティの高い利用者を集めたり、優れたカスタマーサービスを維持したりすることができても、そのいずれもユーザーのアカウントの侵害を試みる不正行為者からビジネスを保護することはできません。アカウントの乗っ取りによる不正利用は、なりすまし犯罪の最も一般的な形式の 1 つであり、2019 年には既存のアカウント不正利用全体の 53% を占めています。この類の不正利用は、ビジネスにとって大きな負債となります。Juniper Research によると、2020 年にアメリカのビジネスでのアカウントの乗っ取りによる不正利用の被害額は 256 億ドルとなっており、2017 年から 500% 増加しています。こうしたアカウントの侵害によって、ビジネスの評判だけでなく、既存の利用者に対して築いた信頼も損なわれる恐れがあります。

アカウントの乗っ取りによる不正利用の被害額は毎年増加しているため、オンラインビジネスには、不正行為の発生前に不正行為者を検知してブロックするためのプランが必要です。ここでは、アカウントの乗っ取りによる不正利用を検知して防ぐために知っておくべきことを紹介します。

この記事の内容

  • アカウントの乗っ取り (ATO) による不正利用の概要
  • アカウントの乗っ取りによる不正利用のタイプ
  • アカウントの乗っ取りによる不正利用がビジネスに害を及ぼす手法
  • アカウントの乗っ取りによる不正利用を検知して防ぐ方法

アカウントの乗っ取り (ATO) による不正利用の概要

アカウントの乗っ取りによる不正利用 (またはアカウントの侵害) は、アカウント情報の抽出やお金の引き落としを目的として、不正行為者が正当な利用者のアカウントの制御権を掌握したときに発生します。これは銀行口座からフードデリバリービジネスのアカウントまで、どのタイプのオンラインアカウントでも発生する可能性があります。侵害されるアカウントのタイプによっては、不正行為者が抽出した情報を使って利用者になりすまし、新規の銀行口座の開設や、新規のクレジットカードの申し込み、特典ポイントの引き換え、ショッピングサイトやレストランのデリバリーサイトでの注文を行う恐れがあります。また、取得した情報を使用して、他のアカウントにアクセスしたり、アカウント情報を不正な団体に売ったりする恐れもあります。

アカウントの乗っ取りによる不正利用のタイプ

Aite Group による 2020 年の調査では、最近、38% の消費者がアカウントの乗っ取りによる不正利用の被害に遭ったことがわかりました。この類の不正利用は多くの形で発生する可能性があります。

  • フィッシング
    フィッシング詐欺は、一般的にメールやショートメッセージを通じて発生します。寄付や個人情報を求めるメッセージ、各自のデバイスに自動でマルウェアをインストールするリンクまたは添付ファイルをクリックするように指示するメッセージが利用者に届きます。

  • マルウェア
    悪意のあるソフトウェア (一般的にマルウェアとして知られます) は、デバイスに損害を与えたり、不正にアクセスしたりするために設計された侵入型のソフトウェアです。トロイの木馬は、ユーザーのデバイスを掌握するタイプのマルウェアで、銀行口座やクレジットカードの詳細などの情報をハッカーが傍受することを可能にします。モバイルバンキングのトロイの木馬は、銀行口座からお金を盗むことに特化して設計されています。多くの場合、実際のモバイルバンキングのアプリケーションを模した偽物のページを表示し、これを利用してユーザーのアカウントや認証の詳細を取得します。

  • クレデンシャルスタッフィング
    侵害された、または盗まれたユーザー認証情報のリストを使用してアカウントに侵入することを、クレデンシャルスタッフィングと言います。これはリプレイ攻撃とも呼ばれています。多くの人が同じユーザー名とパスワードの組み合わせを複数のアカウントに使用しているため、1 つのアカウントの認証情報が判明すると、ハッカーが複数のアカウントにアクセスできるようになる恐れがあります。

  • クレデンシャルクラッキング
    アカウントにログインできるまで、さまざまなユーザー名とパスワードの組み合わせを入力することを、クレデンシャルクラッキングまたはブルートフォース攻撃と呼びます。詐欺行為者は、多くの場合、ボットが作成した一般的なパスワードのリストを使用して、有効なパスワードを見出します。または、ボットを使ってランダムな文字の組み合わせを作り、ユーザーのパスワードを割り出すまでそれを試します。

  • 中間者攻撃
    中間者 (MITM) 攻撃は、不正行為者がユーザーとアクセスしようとしているアプリケーション (EC ストアのサイトやモバイルバンキングアプリなど) の間に入り込む方法を見出したときに発生します。一般的なタイプの中間者攻撃では、不正な WiFi ホットスポットをセットアップして、そのホットスポットにアクセスしようとする人たちからログイン認証情報やアカウントの詳細情報、クレジットカード番号を盗みます。

  • セッションハイジャック
    ユーザーがオンラインサービスにサインインする際にセッションを掌握することは、セッションハイジャックとみなされます。たとえば、ユーザーが新規の購入のためにオンラインストアで自身のアカウントにログインした場合に、不正な支払いに必要なすべてのクレジットカードの詳細が乗っ取り行為者に盗まれる恐れがあります。

  • SIM カードのスワップ
    SIM カードのスワップは、不正行為者が被害者の携帯電話会社に連絡し、被害者になりすましてコールセンターの従業員を欺き、被害者の電話番号を別の SIM カードに移行させることで発生します。不正行為者は被害者の電話番号をコントロールすることで、銀行の詳細情報にアクセスしたり、ショートメッセージの認証が必要な取引を実行したりすることができます。

アカウントの乗っ取りによる不正利用がビジネスに害を及ぼす手法

どのタイプの不正行為もオンラインビジネスにとって深刻なリスクを引き起こします。そして、アカウントの乗っ取りによる不正利用も例外ではありません。ここでは、顧客維持に関する問題から罰金まで、アカウントの乗っ取りによる不正利用がどのようにしてビジネスに害を及ぼしうるのかを紹介します。

評判の損傷
アカウントの侵害によってビジネスの評判が大きく損なわれる恐れがあります。利用者は個人の詳細情報とデータが安全に保たれることを重視しており、ソーシャルメディアやニュースでアカウントの乗っ取りによる不正利用について知ると、当該のビジネスでのアカウントの開設を断念してしまう可能性があります。評判はすぐに損なわれ、その回復には長い時間がかかります。

顧客維持に関する問題
ハッキングのニュースは既存の利用者にも影響を及ぼす恐れがあります。侵害の影響を受けていない既存の利用者が動揺し、予防措置としてアカウントを解約する可能性があります。全世界を対象とした Vodafone の調査では、89% のビジネスが、サイバーセキュリティの向上は顧客のロイヤルティと信頼を高めるだろうと回答しました。

罰金
アカウントの乗っ取りによる不正利用に関連した罰金は蓄積されます。ハッカーが利用者のアカウントを通じて不正な購入を行った場合、一般的に、アカウント所有者はその請求に対して不審請求の申請を行った後に、クレジットカード発行会社から返金を受けます。しかし、購入された製品を販売したビジネスは、その売上や不正行為者に配送された製品を失い、一般的には決済代行業者にチャージバック手数料を支払う義務を負います。不正利用が継続して発生した場合、コストはさらに高くなる恐れがあります。不正利用の発生率が高いビジネスは、ネットワークのチャージバックのモニタリングプログラムに割り当てられたり、より高い決済処理手数料を請求されたりする可能性があるほか、決済代行業者によって完全に停止される場合もあります。

チャージバック手数料の他にも、一般データ保護規制 (GDPR) やその他のプライバシー法により、利用者のデータを保護できなかったことに対して罰金が発生する恐れがあります。GDPR の下では、罰金は事例に比例して科されますが、あまり深刻ではない違反を犯したことが判明したビジネスに数百万ユーロの罰金が科されることがあります。

アカウントの乗っ取りによる不正利用を検知して防ぐ方法

アカウントの乗っ取りによる不正利用からビジネスを保護するための鍵は、事後の対応よりも事前の対策にあります。つまり、不正行為者が侵害を実行する機会をつかむ前に、彼らを検知してブロックするための対策を整備する必要があります。多種多様なアカウントの乗っ取りによる不正利用がさまざまな様式で現れているため、ビジネスでは検知と予防に関して警戒を怠らないようにする必要があります。

ここでは、ビジネスを保護するためにとれる対策を紹介します。

アカウントの変化をモニタリングする
さまざまな利用者の詳細が同時に変更される場合や、複数のアカウントが突然更新されて同一の利用者の詳細を含んでいる場合など、一部のタイプの不正利用にはレッドフラグが立ちます。しかし、洗練された攻撃はさらに捉えにくく、行動のパターンに気付くことが求められます。具体的には、何者かが利用者の詳細を更新し、すぐに新しいデバイスからログインした後、以前は登録されていなかった配達先住所に対して製品を注文した場合などです。Stripe Radar などの機械学習ツールでは、データを駆使し、新しい不正利用パターンに適応する機能によって、不正行為者と実際の利用者を区別できるようにビジネスを支援します。

不正行為者が実際に損害を与える前にアカウントの乗っ取りを検知するために実施できるシンプルな変更としては、アカウントの詳細を変更する前に (2 段階認証を使用して) 本人確認の実行をユーザーに求めることや、あらゆるアカウントの変更についてすぐにユーザーに通知することなどが挙げられます。

デバイスにおける不整合にフラグを立てる
不正利用の検知におけるもう 1 つの重要な側面には、ユーザーのアカウントに関連付けられた疑わしいデバイスを常に注視することが含まれます。たとえば、同一のデバイスに関連付けられている複数のアカウントや、デバイスのスプーフィング (正体を隠したり、システムを欺いたりするために別のデバイスになりすますこと) が原因でモデルが「不明」なデバイスと異常に多く関連付けられているアカウントは、潜在的な侵害の兆候となります。ログイン時の IP アドレスが複数の国にわたっていることも異常なアクティビティの兆候になり得ます。機械学習ツールの力を活用して、こうした不整合を早期に捉えれば、ビジネスで全面的に時間と費用を節約することができます。

ビジネスを不正利用から保護しつつ成長させることができるように、機械学習ツールはすべての Stripe アカウントで利用可能になっています。Stripe Radar で毎年数千億ドルの決済のデータを活用し、アカウントの乗っ取りによる不正利用を正確に検知および防止している方法について詳しく把握するには、こちらをご覧ください

その他の記事

今すぐ始めましょう

アカウントを作成し、支払いの受け付けを開始しましょう。契約や、銀行情報の提出などの手続きは不要です。貴社ビジネスに合わせたカスタムパッケージのご提案については、営業担当にお問い合わせください。