ボットを使った不正ログインには、リスク評価モデルで対抗

米国では、個人情報漏洩事件で流出したユーザーIDとパスワードがブラック・マーケットで大量にセット再販されており、犯罪グループはこれらの情報とボットを使って、ログインできるWebサイトを探し出しています。このようなサイバー犯罪への対抗策として、リスク評価モデルの活用が注目されており、アイテ・グループでは、この分野に取組を「Arkose Labs Case Studies: Stopping Fraud by Making Attacks Too Expensive」としてまとめています。


■ 不正行為にも自動化の波
米国では、個人情報漏洩事件が頻発した結果、サイバー犯罪者は、ブラック・マーケットで多量の個人データ(ユーザー名とパスワードのセットなど)をいつでも大量に入手できる環境にある。これら潤沢な「リソース」を活用するため、犯罪者グループは、ボットを活用して「サイバー攻撃の自動化」を推進している。

例えば、犯罪者は、不正に入手したユーザーIDとパスワードの組み合わせが、どの金融機関やECサイトで使えるか、ボットを使って自動的に次々と確かめている。一旦、ログインできるサイトが見つかれば、ハッカー自身が不正行為を行う。しかも、このようなID/パスワード自動確認ツールは、無料/ローコストで流通している。

Webサイトを運営する企業は、不正が疑われるログインに対しては、セカンダリー・スクリーニング(追加の質問やワンタイム・パスワードの送付、CAPTCHA(キャプチャ:ひずんだ文字を表示し、目で読み取って入力してもらう)テスト等)で対応するケースが多いが、正規ユーザーにはユーザー・エクスペリエンスの悪化となってしまう。一方、犯罪グループは、キャプチャへの入力が求められると即座に「担当者」が対応する、ボット+スタッフによるハイブリッド・アプローチも採用している。


■ 人工知能でセカンダリー・スクリーニングを減らす
昨今、注目の手法は、リスク評価モデルだ。ユーザーIDとパスワードが一致していても、その他の条件(デバイスID、アクセス場所、アクセス時の行動(入力時のキー・ストロークの早さなど)、機器にインストールされているソフトウエアの種類/言語設定など)を過去のアクセスと比較し、AIを使って「本人度合い」を点数化する。この方法では、閾値(スレッシュホールド)を調整することで、セカンダリー・スクリーニングを最小化できる。

Arkose Labsなどリスク評価モデル・ベースの不正防止ツールを導入した企業では、ログインできないアクセスが増加する一方(不正アクセスだったと思われる)、フォルス・ポジティブ(正規のアクセスを不正だと誤認してしまう)が減り、結果カスタマー・エクスペリエンス向上を図りつつ、不正防止を強化することが可能となった。


■ 不正防止の戦いは続く
ツール・ベンダーやユーザー企業では、正規ユーザーのエクスペリエンスを保ちつつ不正を排除するため、リスク・スコアリングのアルゴリズムを見直したり、スコアリング対象となるデータ項目を増やすなどの努力が続けられている。また、センカンダリー・スクリーニングになった場合でも、正規ユーザーなら確実に答えられる質問内容にするなどの手直しも行われているようだ。

もちろん、犯罪者もテクノロジー活用の高度化を進めており、キャプチャ・テストに対して画像認識/自動応答ボットが開発されている。このような個人情報を不正に利用するサイバー犯罪は、犯罪コストが上がって引き合わなくなるまで続くものと思われる。今後の動向に引き続き注目しておきたい。

How can we help?

If you have a question specific to your industry, talk with an Aite Group analyst.  Call us today to learn about the benefits of becoming a client.

Talk to an Analyst

Receive email updates relevant to you.  Subscribe to entire practices or to selected topics within
practices.

Get Email Updates