アカウントを作成するには、ユーザーはメールアドレス、電話番号、氏名のいくつかの組み合わせを提供する必要があります。しかし、こうした情報は数秒で捏造できるため、ユーザーの実際の本人確認について有益な情報はほとんど得られません。実際には、ユーザーが使用しているデバイス、アクセス元のネットワーク、登録フォームをどのように操作したかといった、他のデータポイントのほうがはるかに重要です。
本人確認リスクのスコアリングとは、本人確認にリスクレベルを割り当て、それらの補助的なシグナルを判定に変換するサイバーセキュリティのプロセスです。以下では、本人確認リスクのスコアリングとは何か、静的ルールでは現代の悪用パターンを検知できない理由、そしてスコアリングシステムを導入した後にどのように評価し運用するかを説明します。
主なポイント
本人確認リスクのスコアリングでは、単一の属性に頼るのではなく、数十のシグナルを同時に評価します。そのため、静的なルールセットよりも攻撃者による回避がはるかに難しくなります。
試用の有効化、プロモーションの利用、ログインは、スコアリングを適用する価値が特に高い場面です。
スコアリングプラットフォームを導入する際は、継続的なしきい値の調整とフィードバックループを常に活用することが重要です。
本人確認リスクのスコアリング
本人確認リスクのスコアリングでは、その時点で存在するシグナルの総合的な重みに基づいて、本人確認の試行に数値またはカテゴリのリスク値を割り当てます。ユーザーのメールアドレス自体が本物かどうかではなく、その試行全体が正当なユーザーのものとして整合しているかどうかを評価します。
本人確認分析で一般的に用いられるシグナル
登録が正当かどうかは、単一のデータポイントだけでは判断できません。本人確認分析とリスクスコアリングプラットフォームは、5 つの異なるカテゴリーにまたがるシグナルを集約します。
デバイスシグナル
デバイスフィンガープリントは、ブラウザのバージョン、インストールされているフォント、画面解像度、ハードウェア仕様を集約し、セッションをまたいで維持される仮名化された識別子を生成します。これにより、過去の不正利用や悪用に関連付けられたデバイスは、アカウントの認証情報が変わってもフラグが立てられます。プラットフォームはさらに、ヘッドレスブラウザ、想定される API の欠如、実際の一般消費者向けデバイスには見られない属性の組み合わせなど、自動化の兆候も確認します。
ネットワークシグナル
インターネットプロトコル (IP) のレピュテーションは、IP アドレスそのものよりも重要です。たとえば、データセンター、既知の仮想プライベートネットワーク (VPN) プロバイダー、Tor の出口ノード、または犯罪者が一般消費者のトラフィックを装うために使う住宅向けプロキシネットワークと関連付けられているかどうかが判断材料になります。さらに、1 時間に同じサブネットワークから 50 件の登録があるといったネットワークレベルの急増も、それ自体が不正利用のシグナルです。
行動バイオメトリクス
タイピングのリズム、マウスの動きのパターン、各フィールドに費やした時間、ユーザーがメールアドレスをコピー&ペーストしたか、それとも手入力したかといった要素は、いずれも測定可能なパターンを生み出します。ボットやスクリプト化されたツールは、人間とは統計的に異なる特徴を示します。そうしたパターンを自然に見せかけることは、攻撃者にとって今も継続的なエンジニアリング上の課題です。
本人確認属性シグナル
メールアドレスの使用年数、ドメインのレピュテーション、そのアドレスが使い捨てメールのパターンに一致するかどうか、電話番号の種類 (インターネット回線を使った音声通話や通信事業者発行の番号など) は、それぞれ単独では弱いシグナルですが、他のシグナルと組み合わせると重要になります。
アカウント間の関連付け
5 つのアカウントが同一のデバイスフィンガープリントを共有している場合や、1 週間で同じ IP 範囲から 20 のアカウントが作成された場合、それらの関連付けはシグナルになります。多くの事業者にまたがる幅広いカバレッジを持つプラットフォームでは、単一の運用担当者では決して見つけられないパターンを検出できます。
本人確認リスクのスコアリングが有効で、静的ルールが機能しない理由
静的ルールは固定された標的です。攻撃者はデータセンター IP がブロックされると住宅向けプロキシに切り替え、使い捨てメールに関するルールが発動するとカスタムドメインに切り替え、通信量の上限が適用されるとトラフィックを複数の IP に分散させます。
スコアリングがこうした破綻パターンにどう対処するかを以下で説明します。
連続分布に対する二値的な判定
実際のトラフィックは、正当なものから不正なものまで連続的に分布しており、その重なり合う領域は広く存在します。履歴がクリーンで通常どおり行動する VPN ユーザーは、フラグが立てられた住宅向けプロキシを使い、ボットのようなタイピングパターンを示し、作成から 3 分しか経っていないメールアドレスを使う VPN ユーザーとは異なります。静的ルールではその違いを表現できませんが、スコアなら表現できます。
攻撃者の適応
不正利用者が戦術を変えても、ルールベースのシステムは誰かが新しいルールを書き加えるまで気づきません。行動パターンを学習したスコアリングシステムは、新しい戦術を、正当なトラフィックのベースラインに照らした異常として検知できます。多くの場合、明示的にラベル付けされる前に検知できます。
グレーゾーン
多くの本番システムでは、既知のマルウェアインフラや制裁リストとの一致など、明らかに失格となるシグナルにはハードルールを使用し、それ以外はスコアリングで対応しています。
本人確認リスクのスコアリングが重要になる場面
悪用のパターンは、プラットフォーム上でのユーザーのライフサイクル全体を通じて現れます。リスクスコアリングは、本人確認が行われる、または悪用される可能性がある以下の各時点で適用されます。
アカウント登録
悪用の明らかな標的には、無料プランの悪用、クレデンシャルファームの作成、偽のレビュー用アカウント、プロモーションの利用などがあります。登録時のスコアは、アカウントが有効になる前にこれを見つけるための最初の、そして場合によっては唯一の機会です。
無料トライアルの有効化
無料トライアルの悪用は、アカウントを作成し、無料トライアルを有効化し、使い切ったら別のアカウントを作成するという予測しやすいパターンをたどります。登録時に加えて無料トライアルの有効化時にもスコアリングを行うことで、最初のスクリーニングをすでにすり抜けているユーザーを検知できます。
プロモーションと紹介の利用
プロモーションの悪用は、特定のインフラパターンに従います。利用時点でスコアリングを行うことで、登録時のスクリーニングは通過したものの、悪用と相関する行動を示し始めたアカウントを検知できます。
ログイン
アカウント乗っ取りは新規アカウント不正利用とは異なる脅威モデルですが、シグナルは重複します。異常なログイン試行には、独自のスコアリングレイヤーが必要です。
セッション中に継続的にスコアリングを行うプラットフォームもあります。登録時のスコアリングを通過したユーザーでも、高頻度の API コール、大量のデータエクスポート、または決済の繰り返し失敗を試みると、その行動に基づいて再度スコアリングされます。Stripe Radar は、Stripe のネットワーク全体から得られるシグナルを使用して取引をスコアリングするため、個々の事業者だけでは見えないパターンを把握できます。Stripe の決済と連携する登録時の保護を構築している事業者にとって、この決済段階でのスコアリングレイヤーは、初期のスクリーニングを通過した不正利用に対する防波堤として機能します。
本人確認リスクのスコアリングプラットフォームの評価方法
ベンダー間の違いは、マーケティングページからは必ずしも明確に読み取れません。不適切なプラットフォームを選択すると、正当なユーザーをブロックするか、悪用を見逃すかのどちらかになります。
リスクスコアリングプラットフォームで確認すべきポイント:
シグナルのカバレッジと鮮度
プラットフォームが取り込むシグナルの種類の数と、レピュテーションデータの鮮度を確認してください。IP レピュテーションデータが古い、またはデバイスフィンガープリントのカバレッジが限られているプラットフォームでは、現代の攻撃パターンを見逃すスコアが生成されます。住宅向けプロキシの検知と行動バイオメトリクスのケイパビリティについて、ベンダーに具体的に確認してください。これらはプラットフォーム間で大きな差が出る領域です。
リアルタイムパフォーマンス
登録時の本人確認スコアリングでは、ユーザーが応答を期待する前に結果を返す必要があります。数百ミリ秒を超えるレイテンシーは、コンバージョンに影響し始めます。実際の 99 パーセンタイルレイテンシーを確認してください。
精度と誤検知率
不正利用の 95% をブロックしても、正当なユーザーの 3% を誤って拒否するシステムは、事業によってはかえってマイナスになる可能性があります。誤検知率は、自社固有のトラフィックプロファイルに照らして測定する必要があります。システムがアカウントにフラグを立てた場合は、どのシグナルがその判断につながったのかを示せる必要があります。
実装オプション
プラットフォームが自社のスタックとの事前に構築された連携を持ち、登録フローに適合するリアルタイム API を提供しているかどうかを確認してください。認証や決済システムにフィードバックが必要な意思決定をどのように処理するかも確認してください。
運用ツール
スコアリングには、スコア分布を表示するダッシュボード、フラグが立てられたアカウントを確認するためのツール、しきい値を調整する機能、人間によるレビューの判断をモデルの改善に生かすフィードバックの仕組みが必要です。このインフラに投資しないプラットフォームは、時間の経過とともに非効率になります。
本人確認リスクのスコアリングシステムの継続的な運用と調整
本人確認分析とリスクスコアリングプラットフォームの導入は、継続的なプロセスの始まりです。
最初から知っておくべき重要事項:
リスク許容度に基づいたしきい値の設定
多くのプラットフォームには、ブロック、追加確認、または通過の判断を促すデフォルトのスコアしきい値が用意されています。これらのデフォルト値は平均的な顧客向けに調整されているため、見直しが必要になる可能性があります。システムをシャドーモードで実行し、既知の結果に照らしてスコア分布を確認すれば、しきい値を実際にどこに設定すべきかを把握できます。
ドリフトの監視
攻撃者の行動は変化し、正当なユーザーの行動も変化します。特に、新しい市場に参入したり、製品を変更したり、通常とは異なるトラフィックを引き付けるキャンペーンを実施したりする場合は顕著です。実際の不正利用率に対応する変化がないままスコア分布が変動している場合は、何かが変化しており、調査が必要であることを示すシグナルです。
フィードバックループの構築
スコアは予測にすぎませんが、実際の結果は現実です。フィードバックを取り込んでモデルを調整できるプラットフォームは、そうでないプラットフォームと比較して、時間の経過とともに明確に精度が高まります。
しきい値の定期的な見直し
チームはアカウント登録時にしきい値を設定し、その後数ヵ月間見直さないことがよくあります。一方で、不正利用率は変化し、製品の接点も変化するため、昨年のトラフィックプロファイルに合わせて調整されたしきい値が、今では厳しすぎたり緩すぎたりする可能性があります。結果に照らしてスコアのパフォーマンスを確認し、それに応じて調整するレビューサイクルを構築してください。
Stripe Radar でできること
Stripe Radar は、Stripe のグローバルネットワークのデータで学習した AI モデルを使用して不正利用を検知・防止するツールです。最新の不正傾向に応じてモデルを常に更新し、不正利用の手口が進化してもビジネスを守ります。
Stripe は、その他にも、Radar for Teams を提供しています。自社ビジネス特有の不正利用シナリオに対応するカスタムルールを追加でき、高度な不正利用分析情報にアクセスできます。
Radar で可能なこと
不正利用による損失の防止: Stripe は年間 1 兆ドルを超える決済を処理しています。この規模だからこそ、Radar は不正利用を正確に検知・防止し、コスト削減に貢献します。
収入の向上: Radar の AI モデルは、実際の不審請求の申し立てデータ、顧客情報、閲覧データなどをもとに学習しています。これにより、Radar はリスクの高い取引を特定し、誤検知を減らして、収入向上に貢献します。
業務効率化: Radar は Stripe に組み込まれており、設定のためのコーディングは一切不要です。1 つのプラットフォームで不正利用への対応状況の監視やルールの作成などができるため、業務効率が向上します。
この記事の内容は、一般的な情報および教育のみを目的としており、法律上または税務上のアドバイスとして解釈されるべきではありません。Stripe は、記事内の情報の正確性、完全性、妥当性、または最新性を保証または請け合うものではありません。特定の状況については、管轄区域で活動する資格のある有能な弁護士または会計士に助言を求める必要があります。