オンラインアカウントの開設数は 2028 年まで年間 13% 以上増加すると予測されており、新規アカウントの不正利用の機会も拡大しています。偽アカウントの作成とは、捏造または盗用された身元情報を使ってアカウントを開設するプロセスです。これは登録システムの問題のように見えるかもしれませんが、本質的には経済的な問題です。攻撃者がアカウントを大量に作成するのは、コストが低く潜在的なリターンが高いからです。防止策を効果的にするには、攻撃者にとって割に合わなくなるまでそのコストを引き上げる必要があります。
以下では、偽アカウントの検出方法、登録が好まれる侵入ポイントである理由、および登録レベルでの検出がより広範な不正利用対策にどのように組み込まれるかを解説します。
ハイライト
偽アカウントは、無料トライアルの悪用、API スクレイピング、決済不正利用などの下流での不正行為に向けたエントリーポイントインフラとして機能することが多くあります。
偽アカウントの検出は、登録試行時のデバイス、ネットワーク、行動、ID シグナルを相関分析することに大きく依存しています。
偽アカウントの作成を検出するシステムは、悪意ある登録に必要な手間を増やすことができます。登録後のモニタリングと組み合わせることで、すり抜けた不正利用や後から悪用に転じたものを捕捉できます。
偽アカウント作成とは?
偽アカウント作成とは、偽造または盗まれた情報を使用してアカウントを開設する不正利用の一種です。これには、生成されたメールアドレス、VoIP (voice over internet protocol) 電話番号 (仮想番号を介して固定電話の代わりに通話できる)、または架空の名前、もしくは実際には同一人物に属さないリアルデータの組み合わせが含まれる場合があります。
偽アカウントと通常のアカウントの主な違いは意図にあります。正当なユーザーは製品を利用するために登録します。偽アカウントは、プラットフォームから価値を搾取するか、何らかの不正行為を可能にするために作成されます。
偽アカウント作成の動機とは?
偽アカウントの作成が最終目的であることはほとんどありません。通常は、その他の不正行為を可能にするためのインフラとして機能します。
攻撃者が偽アカウントを作成する理由を以下に示します。
無料トライアルおよびプロモーションの悪用
無料トライアル、クレジット、紹介ボーナス、登録特典など、あらゆる登録インセンティブが攻撃対象になります。攻撃者はそれらの特典を繰り返し受け取るために、大量のアカウントを作成します。組織的なキャンペーンにより、プロモーション予算が数時間で枯渇することもあります。
スパムおよびプラットフォーム操作
マーケットプレイス、ソーシャルプラットフォーム、レビューサイトにおいて、偽アカウントは操作のための素材となります。偽のレビュー、水増しされたフォロワー数、組織的なエンゲージメント、その他の本物らしい活動のように見せる行為が可能になります。
API およびデータスクレイピング
ウェブスクレイピング API はウェブサイトからデータを抽出するために使用されます。認証済みユーザーは、匿名トラフィックよりも高い API レート制限を受けることが多くあります。偽アカウントにより、攻撃者はスクレイピングの活動を複数の認証済みセッションに分散させ、アカウントごとのスロットルを回避できます。
クレデンシャルスタッフィングのためのインフラ
クレデンシャルスタッフィングキャンペーンを実行する攻撃者には、そのためのインフラが必要です。登録フローは、メール形式の検証、どのドメインがメールを受け付けるかのテスト、または後で盗まれた資格情報のテストに使用されるアカウントの作成に利用できます。場合によっては、新たに作成されたアカウントが大規模な不正利用操作の一部として売却または再利用されることもあります。
決済詐欺の準備
金融またはマーケットプレイス環境において、偽アカウントは盗まれたカード番号のテスト、小規模なカーディング試行、または不正な取引を処理するのに十分な時間だけ正当に見える一時的なビジネス ID の確立に使用される場合があります。
登録時の偽アカウント作成における危険信号とは?
偽アカウントを確実に識別できる単一のシグナルはありません。検出は、通常のユーザー行動では説明が難しい複数のシグナルを組み合わせることで機能します。
悪意の可能性を示す危険信号をいくつか紹介します。
メールシグナル
使い捨てメールドメイン: 一時的な受信ボックスサービスは、長期的なアクセスを維持することなくアカウントを簡単に作成できるため、よく悪用されます。よく知られたプロバイダーはブロックしやすいですが、小規模なサービスはブロックリストを回避するためにドメインを継続的にローテーションしています。
生成されたエイリアスのパターン: 大量アカウント作成では予測可能なパターンが生成されることが多く、「user1@」「user2@」などの連番のバリエーションや、ランダムな文字の長い文字列が使用されます。
非常に新しいドメイン: 正当なユーザーが数日前に登録されたドメインを使って登録することはほとんどありません。ごく最近に登録されたドメインを使用するアカウントは、より厳密な精査が必要です。
デバイスおよびネットワークシグナル
デバイスフィンガープリントの再利用: ブラウザの設定、画面解像度、インストール済みフォント、グラフィックフィンガープリントは、インターネットプロトコル (IP) アドレスや身元情報が変わっても、同一の自動化システムによって作成されたアカウント間で繰り返し現れることがよくあります。
データセンターまたはプロキシの IP アドレス: クラウドプロバイダー、仮想プライベートネットワーク (VPN)、または Tor の出口ノードからのトラフィックは、住宅用インターネットサービスプロバイダー (ISP) のトラフィックよりもリスクが高くなります。
登録ベロシティ: 単一の IP レンジ、自律システム番号 (ASN)、またはデバイスフィンガープリントからの新規アカウントの急増は、組織的なキャンペーンの早期指標となる可能性があります。
行動のシグナル
非現実的なフォーム入力速度: 実際の人間がフィールドを読んで入力するには時間がかかります。登録フォームが数分の一秒で完了している場合、自動化が原因である可能性が高いです。
完璧な入力パターン: 人間は迷い、タイプミスをして、修正します。一時停止やバックスペースのない、整然とした直線的な入力はスクリプトによるフォーム入力の可能性を示唆することが多くあります。
機械的なマウスの動き: ボットはカーソルを動かさないか、人間の操作にみられる不規則なパターンではなく、直線的で均一なパスに沿った動きのパターンを生成します。
身元の整合性シグナル
VoIP 電話番号: VoIP サービスを通じて提供される番号は、携帯電話会社の番号よりも大量に安く入手しやすいため、偽アカウントキャンペーンで一般的に使用されます。
ロケールの不整合: 言語設定、住所形式、通貨の設定、申告された地理的な場所はおおよそ一致しているべきです。一致していない場合、そのアカウントの背後にある身元の信頼性は低くなります。
シグナルの相関分析によって偽アカウントの作成をどのように検出するか?
登録時にマルチアカウント不正利用を検出する際、個々のシグナルは有用だが、最も効果的な検出はアカウント間の相関分析から生まれる。攻撃者が名前、メールアドレス、IP アドレスを変えても、他のパターンは残る。多くのシステムは登録を 1 件ずつ評価するのではなく、共通の属性に基づいてアカウントをクラスターにグループ化し、そのクラスターが正常な行動に見えるかどうかを判断します。
クラスタリングによく使用されるシグナルには次のものが含まれます:
デバイスフィンガープリントの類似性: 共通のブラウザー設定、画面サイズ、またはグラフィックフィンガープリント
ネットワークパターン: IP の近接性、ASN のオーナーシップ、トラフィックが住宅用ネットワークとクラウドインフラのどちらから発信されているかどうか
行動シーケンス: 登録時のアクションの順序とタイミング。これにより自動化ツールのフィンガープリントが可能
ID の重複: 類似したメールのルート、再利用された電話番号、または部分的に一致する住所
速度と加速度: これまでトラフィックが発生していなかったインフラからの突発的なアクティビティの急増
実際のユーザーをブロックせずに偽アカウントの作成を防ぐ戦略とは?
偽アカウント作成への効果的な防御は多層的であり、実際に確認されているリスクシグナルに見合ったものである必要があります。
以下の点を考慮してください。
レート制限とベロシティコントロール: IP アドレス、デバイスフィンガープリント、またはメールドメインごとの登録数を制限することは、実際のユーザーに影響を与えることなく自動化を阻止する、わかりやすい第一の防御層です。
行動ベースのボット検出: マウスの動き、タイピングパターン、操作タイミングなどの不可視の行動分析により、人間に対して目に見えるチャレンジを提示することなくボットをフィルタリングできます。難易度の高い CAPTCHA (Completely Automated Public Turing tests to tell Computers and Humans Apart / 人間とボットを識別する自動テスト) は、一律に適用するのではなく、判断が難しいケースに限定して使用するのが最適です。
段階的な本人確認: すべてのユーザーに同一の本人確認フローを強制するのではなく、リスクが高まった場合にのみチェックを強化します。住宅地ネットワークから正常な操作パターンで登録するユーザーは摩擦なく通過できる一方、使い捨てメールと組み合わさったデータセンターの IP アドレスは電話番号による本人確認を促す場合があります。
本人確認をリスクシグナルとして扱う: メールや電話番号による本人確認は、単なる障壁として捉えるべきではありません。正規の携帯電話会社の番号で本人確認を完了することでリスクが低下し、偽アカウントを大量に作成するコストが上昇します。
リスクベースの保留: シグナルが曖昧な場合、アカウントを制限状態で作成し、API アクセスを制限したり、トライアルクレジットを付与しなかったり、機能を縮小したりすることができます。時間の経過とともに正当な行動が確認されると、機能が拡張されます。
検出ソフトウェア: 登録プロセス中の不正利用を軽減するスマートなツールがあります。偽アカウントの作成を検出するソフトウェアなどが例として挙げられます。また、偽アカウント作成後の不審な行動にフラグを立てるツールも検討できます。Stripe Radar はその一例であり、世界中の何百万もの企業のデータをもとに学習した人工知能 (AI) を活用して、より正確に不正利用を識別します。
登録時に偽アカウントの作成をブロックするだけで十分か?
登録時の制御は必要だが、それだけでは不十分だ。攻撃手法は絶えず進化している。攻撃者が SIM ファームに移行すると、VoIP 検出の効果は低下する。自動化ツールが進化するにつれて、デバイスフィンガープリントの精度も落ちていく。静的な検出アプローチは、いずれ回避されます。
登録時の検出が効果を発揮するのは、参入コストを引き上げる点です。かつて最小限の手間で済んでいたキャンペーンが、今ではアカウント 1 件あたりにより多くのインフラ、時間、費用を要するようになっている。無料トライアルの悪用など、利益率の低い不正行為はコスト増によって採算が取れなくなる可能性があります。
悪意ある攻撃者は手口を変えてくる可能性が高いです。だからこそ、効果的なシステムでは登録時の防御をより広範な戦略における一層として位置づけるのです。
実践的な多層モデルの例を以下に示します:
登録時の制御: シグナルの相関分析、速度制限、段階的な本人確認により、偽アカウントが作成される前に在庫を削減します。
登録後のモニタリング: 異常な行動、通常とは異なる決済パターン、不審な API の使用状況、協調的なアクションにより、すり抜けた不正利用が明らかになる場合があります。
経時的なアカウントの信頼性評価: 数カ月間は正常に動作した後に不正利用に転じるアカウントには、登録時のシグナルではなく行動の変化を重視した検出モデルが必要です。
偽アカウントを完全に阻止することは現実的ではない。目標は、大規模な不正利用をコストのかかるもの、検出可能なもの、持続不可能なものにすることです。
Stripe Radar でできること
Stripe Radar は、Stripe のグローバルネットワークのデータを基に学習した AI モデルを活用し、不正利用を検知・防止します。最新の不正利用の傾向に応じてモデルを常に更新し、不正利用の進化から事業を守ります。
Stripe は、その他にも、Radar for Fraud Teams を提供しています。自社ビジネス特有の不正利用シナリオに対応するカスタムルールを追加でき、高度な不正利用分析情報にアクセスできます。
Radar はビジネスを次のように支援します。
不正利用による損失の防止: Stripe は年間 1 兆ドルを超える決済を処理しています。この規模だからこそ、Radar は不正利用を正確に検知・防止し、コスト削減に貢献します。
収入の向上: Radar の AI モデルは、実際の不審請求の申し立てデータ、顧客情報、閲覧データなどをもとに学習しています。これにより、Radar はリスクの高い取引を特定し、誤検知を減らして、収入向上に貢献します。
業務効率化: Radar は Stripe に組み込まれており、設定のためのコーディングは一切不要です。1 つのプラットフォームで不正利用への対応状況の監視やルールの作成などができるため、業務効率が向上します。
この記事の内容は、一般的な情報および教育のみを目的としており、法律上または税務上のアドバイスとして解釈されるべきではありません。Stripe は、記事内の情報の正確性、完全性、妥当性、または最新性を保証または請け合うものではありません。特定の状況については、管轄区域で活動する資格のある有能な弁護士または会計士に助言を求める必要があります。